home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / coloredbooks / OrangeBookv2.sit.hqx / Orange Book v2

Wrap

Text File  |  1997-11-17  |  277KB  |  5,275 lines

---

1.  
2.  
3. The Orange Book
4.  
5.  
6.  
7.  
8.  
9.                                                                DoD 5200.28-STD
10.                                                                     Supersedes
11.                                                  CSC-STD-00l-83, dtd l5 Aug 83
12.                                                           Library No. S225,7ll
13.  
14.  
15.  
16.  
17.  
18.  
19.  
20.  
21.  
22.                         DEPARTMENT OF DEFENSE STANDARD
23.  
24.  
25.  
26.  
27.                                  DEPARTMENT OF
28.  
29.                                     DEFENSE
30.  
31.                                TRUSTED COMPUTER
32.  
33.                                SYSTEM EVALUATION
34.  
35.                                    CRITERIA
36.  
37.  
38.  
39.  
40.  
41.  
42.  
43.  
44.  
45.  
46.  
47.  
48.  
49.  
50.  
51.  
52.  
53.  
54.  
55.  
56.                                  DECEMBER l985
57.  
58.  
59.                                                              December 26, l985 
60.  
61.                                    FOREWORD
62.  
63.  
64. This publication, DoD 5200.28-STD, "Department of Defense Trusted Computer
65. System Evaluation Criteria," is issued under the authority of an in accordance
66. with DoD Directive 5200.28, "Security Requirements for Automatic Data
67. Processing (ADP) Systems," and in furtherance of responsibilities assigned by
68. DoD Directive 52l5.l, "Computer Security Evaluation Center."  Its purpose is to
69. provide technical hardware/firmware/software security criteria and associated
70. technical evaluation methodologies in support of the overall ADP system
71. security policy, evaluation and approval/accreditation responsibilities
72. promulgated by DoD Directive 5200.28.
73.  
74. The provisions of this document apply to the Office of the Secretary of Defense
75. (ASD), the Military Departments, the Organization of the Joint Chiefs of Staff,
76. the Unified and Specified Commands, the Defense Agencies and activities
77. administratively supported by OSD (hereafter called "DoD Components").
78.  
79. This publication is effective immediately and is mandatory for use by all DoD
80. Components in carrying out ADP system technical security evaluation activities
81. applicable to the processing and storage of classified and other sensitive DoD
82. information and applications as set forth herein.
83.  
84. Recommendations for revisions to this publication are encouraged and will be
85. reviewed biannually by the National Computer Security Center through a formal
86. review process.  Address all proposals for revision through appropriate
87. channels to:  National Computer Security Center, Attention:  Chief, Computer
88. Security Standards.
89.  
90. DoD Components may obtain copies of this publication through their own
91. publications channels.  Other federal agencies and the public may obtain copies
92. from:  Office of Standards and Products, National Computer Security Center,
93. Fort Meade, MD  20755-6000, Attention:  Chief, Computer Security Standards.
94.  
95.  
96.  
97.  
98. _________________________________
99.  
100. Donald C. Latham
101. Assistant Secretary of Defense
102. (Command, Control, Communications, and Intelligence)
103.  
104.  
105.                                ACKNOWLEDGEMENTS
106.  
107.  
108. Special recognition is extended to Sheila L. Brand, National Computer Security
109. Center (NCSC), who integrated theory, policy, and practice into and directed
110. the production of this document.
111.  
112. Acknowledgment is also given for the contributions of: Grace Hammonds and
113. Peter S. Tasker, the MITRE Corp., Daniel J. Edwards, NCSC, Roger R. Schell,
114. former Deputy Director of NCSC, Marvin Schaefer, NCSC, and Theodore M. P. Lee,
115. Sperry Corp., who as original architects formulated and articulated the
116. technical issues and solutions presented in this document; Jeff Makey, formerly
117. NCSC, Warren F. Shadle, NCSC, and Carole S. Jordan, NCSC, who assisted in the
118. preparation of this document; James P. Anderson, James P. Anderson & Co.,
119. Steven B. Lipner, Digital Equipment Corp., Clark Weissman, System Development
120. Corp., LTC Lawrence A. Noble, formerly U.S. Air Force, Stephen T. Walker,
121. formerly DoD, Eugene V. Epperly, DoD, and James E. Studer, formerly Dept. of
122. the Army, who gave generously of their time and expertise in the review and
123. critique of this document; and finally, thanks are given to the computer
124. industry and others interested in trusted computing for their enthusiastic
125. advice and assistance throughout this effort.
126.  
127.  
128.  
129.                                    CONTENTS
130.  
131.  
132.           FOREWORD. . . . . . . . . . . . . . . . . . . . . . . . . . . .i
133.  
134.           ACKNOWLEDGMENTS . . . . . . . . . . . . . . . . . . . . . . . ii
135.  
136.           PREFACE . . . . . . . . . . . . . . . . . . . . . . . . . . . .v
137.  
138.           INTRODUCTION. . . . . . . . . . . . . . . . . . . . . . . . . .1
139.  
140.  
141.                              PART I:  THE CRITERIA
142.  
143.           1.0  DIVISION D:  MINIMAL PROTECTION. . . . . . . . . . . . . .9
144.  
145.           2.0  DIVISION C:  DISCRETIONARY PROTECTION. . . . . . . . . . 11
146.                2.1   Class (C1):  Discretionary Security Protection . . 12
147.                2.2   Class (C2):  Controlled Access Protection. . . . . 15
148.  
149.           3.0  DIVISION B:  MANDATORY PROTECTION. . . . . . . . . . . . 19
150.                3.1   Class (B1):  Labeled Security Protection . . . . . 20
151.                3.2   Class (B2):  Structured Protection . . . . . . . . 26
152.                3.3   Class (B3):  Security Domains. . . . . . . . . . . 33
153.  
154.           4.0  DIVISION A:  VERIFIED PROTECTION . . . . . . . . . . . . 41
155.                4.1   Class (A1):  Verified Design . . . . . . . . . . . 42
156.                4.2   Beyond Class (A1). . . . . . . . . . . . . . . . . 51
157.  
158.  
159.                       PART II:  RATIONALE AND GUIDELINES
160.  
161.           5.0  CONTROL OBJECTIVES FOR TRUSTED COMPUTER SYSTEMS. . . . . 55
162.                5.1   A Need for Consensus . . . . . . . . . . . . . . . 56
163.                5.2   Definition and Usefulness. . . . . . . . . . . . . 56
164.                5.3   Criteria Control Objective . . . . . . . . . . . . 56
165.  
166.           6.0  RATIONALE BEHIND THE EVALUATION CLASSES. . . . . . . . . 63
167.                6.1   The Reference Monitor Concept. . . . . . . . . . . 64
168.                6.2   A Formal Security Policy Model . . . . . . . . . . 64
169.                6.3   The Trusted Computing Base . . . . . . . . . . . . 65
170.                6.4   Assurance. . . . . . . . . . . . . . . . . . . . . 65
171.                6.5   The Classes. . . . . . . . . . . . . . . . . . . . 66
172.  
173.           7.0  THE RELATIONSHIP BETWEEN POLICY AND THE CRITERIA . . . . 69
174.                7.1   Established Federal Policies . . . . . . . . . . . 70
175.                7.2   DoD Policies . . . . . . . . . . . . . . . . . . . 70
176.                7.3   Criteria Control Objective For Security Policy . . 71
177.                7.4   Criteria Control Objective for Accountability. . . 74
178.                7.5   Criteria Control Objective for Assurance . . . . . 76
179.  
180.           8.0  A GUIDELINE ON COVERT CHANNELS . . . . . . . . . . . . . 79
181.  
182.  
183.           9.0  A GUIDELINE ON CONFIGURING MANDATORY ACCESS CONTROL
184.                FEATURES . . . . . . . . . . . . . . . . . . . . . . . . 81
185.  
186.           10.0  A GUIDELINE ON SECURITY TESTING . . . . . . . . . . . . 83
187.                 10.1 Testing for Division C . . . . . . . . . . . . . . 84
188.                 10.2 Testing for Division B . . . . . . . . . . . . . . 84
189.                 10.3 Testing for Division A . . . . . . . . . . . . . . 85
190.  
191.  
192.           APPENDIX A:  Commercial Product Evaluation Process. . . . . . 87
193.  
194.           APPENDIX B:  Summary of Evaluation Criteria Divisions . . . . 89
195.           
196.           APPENDIX C:  Sumary of Evaluation Criteria Classes. . . . . . 91
197.  
198.           APPENDIX D:  Requirement Directory. . . . . . . . . . . . . . 93
199.  
200.           GLOSSARY. . . . . . . . . . . . . . . . . . . . . . . . . . .109
201.  
202.           REFERENCES. . . . . . . . . . . . . . . . . . . . . . . . . .115
203.  
204.  
205.  
206.                                     PREFACE
207.  
208.  
209. The trusted computer system evaluation criteria defined in this document
210. classify systems into four broad hierarchical divisions of enhanced security
211. protection.  They provide a basis for the evaluation of effectiveness of
212. security controls built into automatic data processing system products.  The
213. criteria were developed with three objectives in mind: (a) to provide users
214. with a yardstick with which to assess the degree of trust that can be placed
215. in computer systems for the secure processing of classified or other sensitive
216. information; (b) to provide guidance to manufacturers as to what to build into
217. their new, widely-available trusted commercial products in order to satisfy
218. trust requirements for sensitive applications; and (c) to provide a basis for
219. specifying security requirements in acquisition specifications.  Two types of
220. requirements are delineated for secure processing: (a) specific security
221. feature requirements and (b) assurance requirements.  Some of the latter
222. requirements enable evaluation personnel to determine if the required features
223. are present and functioning as intended.  The scope of these criteria is to be
224. applied to the set of components comprising a trusted system, and is not
225. necessarily to be applied to each system component individually.  Hence, some
226. components of a system may be completely untrusted, while others may be
227. individually evaluated to a lower or higher evaluation class than the trusted
228. product considered as a whole system.  In trusted products at the high end of
229. the range, the strength of the reference monitor is such that most of the
230. components can be completely untrusted.  Though the criteria are intended to be
231. application-independent, the specific security feature requirements may have to
232. be interpreted when applying the criteria to specific systems with their own
233. functional requirements, applications or special environments (e.g.,
234. communications processors, process control computers, and embedded systems in
235. general).  The underlying assurance requirements can be applied across the
236. entire spectrum of ADP system or application processing environments without
237. special interpretation.
238.  
239.  
240.                                  INTRODUCTION
241.  
242. Historical Perspective
243.  
244. In October 1967, a task force was assembled under the auspices of the Defense
245. Science Board to address computer security safeguards that would protect
246. classified information in remote-access, resource-sharing computer systems.
247. The Task Force report, "Security Controls for Computer Systems," published in
248. February 1970, made a number of policy and technical recommendations on
249. actions to be taken to reduce the threat of compromise of classified
250. information processed on remote-access computer systems.[34]  Department of
251. Defense Directive 5200.28 and its accompanying manual DoD 5200.28-M, published
252. in 1972 and 1973 respectively, responded to one of these recommendations by
253. establishing uniform DoD policy, security requirements, administrative
254. controls, and technical measures to protect classified information processed
255. by DoD computer systems.[8;9]  Research and development work undertaken by the
256. Air Force, Advanced Research Projects Agency, and other defense agencies in
257. the early and mid 70's developed and demonstrated solution approaches for the
258. technical problems associated with controlling the flow of information in
259. resource and information sharing computer systems.[1]  The DoD Computer
260. Security Initiative was started in 1977 under the auspices of the Under
261. Secretary of Defense for Research and Engineering to focus DoD efforts
262. addressing computer security issues.[33]
263.  
264. Concurrent with DoD efforts to address computer security issues, work was
265. begun under the leadership of the National Bureau of Standards (NBS) to define
266. problems and solutions for building, evaluating, and auditing secure computer
267. systems.[17]  As part of this work NBS held two invitational workshops on the
268. subject of audit and evaluation of computer security.[20;28]  The first was
269. held in March 1977, and the second in November of 1978.  One of the products
270. of the second workshop was a definitive paper on the problems related to
271. providing criteria for the evaluation of technical computer security
272. effectiveness.[20]  As an outgrowth of recommendations from this report, and in
273. support of the DoD Computer Security Initiative, the MITRE Corporation began
274. work on a set of computer security evaluation criteria that could be used to
275. assess the degree of trust one could place in a computer system to protect
276. classified data.[24;25;31]  The preliminary concepts for computer security
277. evaluation were defined and expanded upon at invitational workshops and
278. symposia whose participants represented computer security expertise drawn from
279. industry and academia in addition to the government.  Their work has since
280. been subjected to much peer review and constructive technical criticism from
281. the DoD, industrial research and development organizations, universities, and
282. computer manufacturers.
283.  
284. The DoD Computer Security Center (the Center) was formed in January 1981 to
285. staff and expand on the work started by the DoD Computer Security
286. Initiative.[15]  A major goal of the Center as given in its DoD Charter is to
287. encourage the widespread availability of trusted computer systems for use by
288. those who process classified or other sensitive information.[10]  The criteria
289. presented in this document have evolved from the earlier NBS and MITRE
290. evaluation material.
291.  
292. Scope
293.  
294. The trusted computer system evaluation criteria defined in this document apply
295. primarily to trusted commercially available automatic data processing (ADP)
296. systems.  They are also applicable, as amplified below, the the evaluation of
297. existing systems and to the specification of security requirements for ADP
298. systems acquisition.  Included are two distinct sets of requirements: 1)
299. specific security feature requirements; and 2) assurance requirements.  The
300. specific feature requirements encompass the capabilities typically found in
301. information processing systems employing general-purpose operating systems that
302. are distinct from the applications programs being supported.  However, specific
303. security feature requirements may also apply to specific systems with their own
304. functional requirements, applications or special environments (e.g.,
305. communications processors, process control computers, and embedded systems in
306. general).  The assurance requirements, on the other hand, apply to systems that
307. cover the full range of computing environments from dedicated controllers to
308. full range multilevel secure resource sharing systems.
309.  
310.  
311. Purpose
312.  
313. As outlined in the Preface, the criteria have been developedto serve a number
314. of intended purposes:
315.  
316.            * To provide a standard to manufacturers as to what security
317.            features to build into their new and planned, commercial 
318.            products in order to provide widely available systems that
319.            satisfy trust requirements (with particular emphasis on preventing
320.            the disclosure of data) for sensitive applications.
321.  
322.            * To provide DoD components with a metric with which to evaluate
323.            the degree of trust that can be placed in computer systems for
324.            the secure processing of classified and other sensitive
325.            information.
326.  
327.            * To provide a basis for specifying security requirements in
328.            acquisition specifications.
329.  
330. With respect to the second purpose for development of the criteria, i.e.,
331. providing DoD components with a security evaluation metric, evaluations can be
332. delineated into two types: (a) an evaluation can be performed on a computer
333. product from a perspective that excludes the application environment; or, (b)
334. it can be done to assess whether appropriate security measures have been taken
335. to permit the system to be used operationally in a specific environment.  The
336. former type of evaluation is done by the Computer Security Center through the
337. Commercial Product Evaluation Process.  That process is described in Appendix
338. A.
339.  
340. The latter type of evaluation, i.e., those done for the purpose of assessing a
341. system's security attributes with respect to a specific operational mission,
342. is known as a certification evaluation.  It must be understood that the
343. completion of a formal product evaluation does not constitute certification or
344. accreditation for the system to be used in any specific application
345. environment.  On the contrary, the evaluation report only provides a trusted
346. computer system's evaluation rating along with supporting data describing the
347. product system's strengths and weaknesses from a computer security point of
348. view.  The system security certification and the formal approval/accreditation
349. procedure, done in accordance with the applicable policies of the issuing
350. agencies, must still be followed-before a system can be approved for use in
351. processing or handling classified information.[8;9]  Designated Approving
352. Authorities (DAAs) remain ultimately responsible for specifying security of
353. systems they accredit.
354.  
355. The trusted computer system evaluation criteria will be used directly and
356. indirectly in the certification process.  Along with applicable policy, it
357. will be used directly as technical guidance for evaluation of the total system
358. and for specifying system security and certification requirements for new
359. acquisitions.  Where a system being evaluated for certification employs a
360. product that has undergone a Commercial Product Evaluation, reports from that
361. process will be used as input to the certification evaluation.  Technical data
362. will be furnished to designers, evaluators and the Designated Approving
363. Authorities to support their needs for making decisions.
364.  
365.  
366. Fundamental Computer Security Requirements
367.  
368. Any discussion of computer security necessarily starts from a statement of
369. requirements, i.e., what it really means to call a computer system "secure."
370. In general, secure systems will control, through use of specific security
371. features, access to information such that only properly authorized
372. individuals, or processes operating on their behalf, will have access to read,
373. write, create, or delete information.  Six fundamental requirements are
374. derived from this basic statement of objective: four deal with what needs to
375. be provided to control access to information; and two deal with how one can
376. obtain credible assurances that this is accomplished in a trusted computer
377. system.
378.  
379.                                     Policy
380.  
381.           Requirement 1 - SECURITY POLICY - There must be an explicit and
382. well-defined security policy enforced by the system.  Given identified subjects
383. and objects, there must be a set of rules that are used by the system to
384. determine whether a given subject can be permitted to gain access to a specific
385. object.  Computer systems of interest must enforce a mandatory security policy
386. that can effectively implement access rules for handling sensitive (e.g.,
387. classified) information.[7]  These rules include requirements such as: No
388. person lacking proper personnel security clearance shall obtain access to
389. classified
390. information.  In addition, discretionary security controls are required to
391. ensure that only selected users or groups of users may obtain access to data
392. (e.g., based on a need-to-know). 
393.  
394.           Requirement 2 - MARKING - Access control labels must be associated
395. with objects.  In order to control access to information stored in a computer,
396. according to the rules of a mandatory security policy, it must be possible to
397. mark every object with a label that reliably identifies the object's
398. sensitivity level (e.g., classification), and/or the modes of access accorded
399. those subjects who may potentially access the object.
400.  
401.                                 Accountability
402.  
403.           Requirement 3 - IDENTIFICATION - Individual subjects must be
404. identified.  Each access to information must be mediated based on who is
405. accessing the information and what classes of information they are authorized
406. to deal with.  This identification and authorization information must be
407. securely maintained by the computer system and be associated with every active
408. element that performs some security-relevant action in the system.
409.  
410.           Requirement 4 - ACCOUNTABILITY - Audit information must be
411. selectively kept and protected so that actions affecting security can be traced
412. to the responsible party.  A trusted system must be able to record the
413. occurrences of security-relevant events in an audit log.  The capability to
414. select the audit events to be recorded is necessary to minimize the expense of
415. auditing and to allow efficient analysis.  Audit data must be protected from
416. modification and unauthorized destruction to permit detection and
417. after-the-fact investigations of security violations.
418.  
419.                                    Assurance
420.  
421.           Requirement 5 - ASSURANCE - The computer system must contain
422. hardware/software mechanisms that can be independently evaluated to provide
423. sufficient assurance that the system enforces requirements 1 through 4 above. 
424. In order to assure that the four requirements of Security Policy, Marking,
425. Identification, and Accountability are enforced by a computer system, there
426. must be some identified and unified collection of hardware and software
427. controls that perform those functions.  These mechanisms are typically embedded
428. in the operating system and are designed to carry out the assigned tasks in a
429. secure manner.  The basis for trusting such system mechanisms in their
430. operational setting must be clearly documented such that it is possible to
431. independently examine the evidence to evaluate their sufficiency.
432.  
433.           Requirement 6 - CONTINUOUS PROTECTION - The trusted mechanisms that
434. enforce these basic requirements must be continuously protected against
435. tampering and/or unauthorized changes.  No computer system can be considered
436. truly secure if the basic hardware and software mechanisms that enforce the
437. security policy are themselves subject to unauthorized modification or
438. subversion.  The continuous protection requirement has direct implications
439. throughout the computer system's life-cycle.
440.  
441. These fundamental requirements form the basis for the individual evaluation
442. criteria applicable for each evaluation division and class.  The interested
443. reader is referred to Section 5 of this document, "Control Objectives for
444. Trusted Computer Systems," for a more complete discussion and further
445. amplification of these fundamental requirements as they apply to
446. general-purpose information processing systems and to Section 7 for
447. amplification of the relationship between Policy and these requirements.
448.  
449.  
450. Structure of the Document
451.  
452. The remainder of this document is divided into two parts, four appendices, and
453. a glossary.  Part I (Sections 1 through 4) presents the detailed criteria
454. derived from the fundamental requirements described above and relevant to the
455. rationale and policy excerpts contained in Part II.
456.  
457. Part II (Sections 5 through 10) provides a discussion of basic objectives,
458. rationale, and national policy behind the development of the criteria, and
459. guidelines for developers pertaining to: mandatory access control rules
460. implementation, the covert channel problem, and security testing.  It is
461. divided into six sections.  Section 5 discusses the use of control objectives
462. in general and presents the three basic control objectives of the criteria.
463. Section 6 provides the theoretical basis behind the criteria.  Section 7 gives
464. excerpts from pertinent regulations, directives, OMB Circulars, and Executive
465. Orders which provide the basis for many trust requirements for processing
466. nationally sensitive and classified information with computer systems.
467. Section 8 provides guidance to system developers on expectations in dealing
468. with the covert channel problem.  Section 9 provides guidelines dealing with
469. mandatory security.  Section 10 provides guidelines for security testing.
470. There are four appendices, including a description of the Trusted Computer
471. System Commercial Products Evaluation Process (Appendix A), summaries of the
472. evaluation divisions (Appendix B) and classes (Appendix C), and finally a
473. directory of requirements ordered alphabetically.  In addition, there is a
474. glossary.
475.  
476.  
477. Structure of the Criteria
478.  
479. The criteria are divided into four divisions: D, C, B, and A ordered in a
480. hierarchical manner with the highest division (A) being reserved for systems
481. providing the most comprehensive security.  Each division represents a major
482. improvement in the overall confidence one can place in the system for the
483. protection of sensitive information.  Within divisions C and B there are a
484. number of subdivisions known as classes.  The classes are also ordered in a
485. hierarchical manner with systems representative of division C and lower
486. classes of division B being characterized by the set of computer security
487. mechanisms that they possess.  Assurance of correct and complete design and
488. implementation for these systems is gained mostly through testing of the
489. security- relevant portions of the system.  The security-relevant portions of
490. a system are referred to throughout this document as the Trusted Computing
491. Base (TCB).  Systems representative of higher classes in division B and
492. division A derive their security attributes more from their design and
493. implementation structure.  Increased assurance that the required features are
494. operative, correct, and tamperproof under all circumstances is gained through
495. progressively more rigorous analysis during the design process.
496.  
497. Within each class, four major sets of criteria are addressed.  The first three
498. represent features necessary to satisfy the broad control objectives of
499. Security Policy, Accountability, and Assurance that are discussed in Part II,
500. Section 5.  The fourth set, Documentation, describes the type of written
501. evidence in the form of user guides, manuals, and the test and design
502. documentation required for each class.
503.  
504. A reader using this publication for the first time may find it helpful to
505. first read Part II, before continuing on with Part I.
506.  
507.  
508.  
509.                              PART I:  THE CRITERIA
510.  
511.  
512. Highlighting (UPPERCASE) is used in Part I to indicate criteria not contained
513. in a lower class or changes and additions to already defined criteria.  Where
514. there is no highlighting, requirements have been carried over from lower
515. classes without addition or modification.
516.      
517.  
518.  
519.                      1.0  DIVISION D:  MINIMAL PROTECTION
520.  
521.  
522. This division contains only one class.  It is reserved for those systems that
523. have been evaluated but that fail to meet the requirements for a higher
524. evaluation class.
525.  
526.  
527.  
528.                    2.0 DIVISION C:  DISCRETIONARY PROTECTION
529.  
530.  
531. Classes in this division provide for discretionary (need-to-know) protection
532. and, through the inclusion of audit capabilities, for accountability of
533. subjects and the actions they initiate.
534.  
535.     
536.  
537. 2.1  CLASS (C1):  DISCRETIONARY SECURITY PROTECTION
538.  
539. The Trusted Computing Base (TCB) of a class (C1) system nominally satisfies
540. the discretionary security requirements by providing separation of users and
541. data.  It incorporates some form of credible controls capable of enforcing
542. access limitations on an individual basis, i.e., ostensibly suitable for
543. allowing users to be able to protect project or private information and to
544. keep other users from accidentally reading or destroying their data.  The
545. class (C1) environment is expected to be one of cooperating users processing
546. data at the same level(s) of sensitivity.  The following are minimal
547. requirements for systems assigned a class (C1) rating:
548.  
549. 2.1.1  Security Policy
550.  
551.      2.1.1.1   Discretionary Access Control
552.  
553.                The TCB shall define and control access between named users and
554.                named objects (e.g., files and programs) in the ADP system.  The
555.                enforcement mechanism (e.g., self/group/public controls, access
556.                control lists) shall allow users to specify and control sharing
557.                of those objects by named individuals or defined groups or both.
558.  
559. 2.1.2  Accountability
560.  
561.      2.1.2.1   Identification and Authentication
562.  
563.                The TCB shall require users to identify themselves to it before
564.                beginning to perform any other actions that the TCB is expected
565.                to mediate.  Furthermore, the TCB shall use a protected 
566.                mechanism (e.g., passwords) to authenticate the user's identity.
567.                The TCB shall protect authentication data so that it cannot be
568.                accessed by any unauthorized user.
569.  
570. 2.1.3  Assurance
571.  
572.      2.1.3.1   Operational Assurance
573.  
574.           2.1.3.1.1  System Architecture
575.  
576.                      The TCB shall maintain a domain for its own execution
577.                      protects it from external interference or tampering
578.                      (e.g., by modification of its code or data strucutres).
579.                      Resources controlled by the TCB may be a defined subset
580.                      of the subjects and objects in the ADP system.
581.  
582.           2.1.3.1.2  System Integrity
583.  
584.                      Hardware and/or software features shall be provided that
585.                      can be used to periodically validate the correct operation
586.                      of the on-site hardware and firmware elements of the TCB.
587.  
588.      2.1.3.2   Life-Cycle Assurance
589.  
590.           2.1.3.2.1  Security Testing
591.  
592.                      The security mechanisms of the ADP system shall be tested
593.                      and found to work as claimed in the system documentation.
594.                      Testing shall be done to assure that there are no obvious
595.                      ways for an unauthorized user to bypass or otherwise
596.                      defeat the security protection mechanisms of the TCB.
597.                      (See the Security Testing Guidelines.)
598.  
599. 2.1.4  Documentation
600.  
601.      2.1.4.1   Security Features User's Guide
602.  
603.                A single summary, chapter, or manual in user documentation
604.                shall describe the protection mechanisms provided by the TCB,
605.                guidelines on their use, and how they interact with one another.
606.  
607.      2.1.4.2   Trusted Facility Manual
608.  
609.                A manual addressed to the ADP System Administrator shall
610.                present cautions about functions and privileges that should be
611.                controlled when running a secure facility.
612.  
613.      2.1.4.3   Test Documentation
614.  
615.                The system developer shall provide to the evaluators a document
616.                that describes the test plan, test procedures that show how the
617.                the security mechanisms were tested, and results of the
618.                security mechanisms' functional testing.
619.  
620.      2.1.4.4   Design Documentation
621.  
622.                Documentation shall be available that provides a description of
623.                the manufacturer's philosophy of protection and an explanation
624.                of how this philosophy is translated into the TCB.  If the TCB
625.                is composed of distinct modules, the interfaces between these
626.                modules shall be described.
627.  
628.  
629.  
630.  
631. 2.2  CLASS (C2):  CONTROLLED ACCESS PROTECTION
632.  
633. Systems in this class enforce a more finely grained discretionary access
634. control than (C1) systems, making users individually accountable for their
635. actions through login procedures, auditing of security-relevant events, and
636. resource isolation.  The following are minimal requirements for systems
637. assigned a class (C2) rating:
638.  
639. 2.2.1  Security Policy
640.  
641.      2.2.1.1   Discretionary Access Control
642.  
643.                The TCB shall define and control access between named users and
644.                named objects (e.g., files and programs) in the ADP system.  The
645.                enforcement mechanism (e.g., self/group/public controls, access
646.                control lists) shall allow users to specify and control sharing
647.                of those objects by named individuals, or defined groups of 
648.                individuals, or by both, and shall provide controls to limit
649.                propagation of access rights.  The discretionary access control
650.                mechanism shall, either by explicit user action or by default,
651.                provide that objects are protected from unauthorized access.
652.                These access controls shall be capable of including or excluding
653.                access to the granularity of a single user.  Access permission
654.                to an object by users not already possessing access permission
655.                shall only be assigned by authorized users.
656.  
657.      2.2.1.2   Object Reuse
658.  
659.                All authorizations to the information contained within a
660.                storage object shall be revoked prior to initial assignment,
661.                allocation or reallocation to a subject from the TCB's pool
662.                of unused storage objects.  No information, including encrypted
663.                representations of information, produced by a prior subject's
664.                actions is to be available to any subject that obtains access
665.                to an object that has been released back to the system.
666.  
667. 2.2.2  Accountability
668.  
669.      2.2.2.1   Identification and Authentication
670.  
671.                The TCB shall require users to identify themselves to it before
672.                beginning to perform any other actions that the TCB is expected
673.                to mediate.  Furthermore, the TCB shall use a protected 
674.                mechanism (e.g., passwords) to authenticate the user's identity.
675.                The TCB shall protect authentication data so that it cannot be
676.                accessed by any unauthorized user.  The TCB shall be able to
677.                enforce individual accountability by providing the capability to
678.                uniquely identify each individual ADP system user.  The TCB
679.                shall also provide the capability of associating this identity
680.                with all auditable actions taken by that individual.
681.  
682.      2.2.2.2   Audit
683.  
684.                The TCB shall be able to create, maintain, and protect from
685.                modification or unauthorized access or destruction an audit
686.                trail of accesses to the objects it protects.  The audit data
687.                shall be protected by the TCB so that read access to it is
688.                limited to those who are authorized for audit data.  The TCB
689.                shall be able to record the following types of events:  use of
690.                identification and authentication mechanisms, introduction or
691.                objects into a user's address space (e.g., file open, program
692.                initiation), deletion of objects, and actions taken by 
693.                computer operators and system administrators and/or system
694.                security officers, and other security relevant events.  For
695.                each recorded event, the audit record shall identify:  date and
696.                time of the event, user, type of event, and success or failure
697.                of the event.  For identification/authentication events the
698.                origin of request (e.g., terminal ID) shall be included in the
699.                audit record.  For events that introduce an object into a user's
700.                address space and  for object deletion events the audit record
701.                shall include the name of the object.  The ADP system
702.                administrator shall be able to selectively audit the actions of
703.                any one or more users based on individual identity.
704.  
705. 2.2.3  Assurance
706.  
707.      2.2.3.1   Operational Assurance
708.  
709.           2.2.3.1.1  System Architecture
710.  
711.                      The TCB shall maintain a domain for its own execution
712.                      that protects it from external interference or tampering
713.                      (e.g., by modification of its code or data structures). 
714.                      Resources controlled by the TCB may be a defined subset
715.                      of the subjects and objects in the ADP system.  The TCB
716.                      shall isolate the resources to be protected so that they
717.                      are subject to the access control and auditing
718.                      requirements.
719.  
720.           2.2.3.1.2  System Integrity
721.  
722.                      Hardware and/or software features shall be provided that
723.                      can be used to periodically validate the correct operation
724.                      of the on-site hardware and firmware elements of the TCB.
725.  
726.      2.2.3.2   Life-Cycle Assurance
727.  
728.           2.2.3.2.1  Security Testing
729.  
730.                      The security mechanisms of the ADP system shall be tested
731.                      and found to work as claimed in the system documentation.
732.                      Testing shall be done to assure that there are no obvious
733.                      ways for an unauthorized user to bypass or otherwise
734.                      defeat the security protection mechanisms of the TCB.
735.                      Testing shall also include a search for obvious flaws that
736.                      would allow violation of resource isolation, or that would
737.                      permit unauthorized access to the audit or authentication
738.                      data.  (See the Security Testing guidelines.)
739.  
740. 2.2.4  Documentation
741.  
742.      2.2.4.1   Security Features User's Guide
743.  
744.                A single summary, chapter, or manual in user documentation
745.                shall describe the protection mechanisms provided by the TCB, 
746.                guidelines on their use, and how they interact with one another.
747.  
748.      2.2.4.2   Trusted Facility Manual
749.  
750.                A manual addressed to the ADP system administrator shall
751.                present cautions about functions and privileges that should be
752.                controlled when running a secure facility.  The procedures for
753.                examining and maintaining the audit files as well as the 
754.                detailed audit record structure for each type of audit event
755.                shall be given.
756.  
757.  
758.      2.2.4.3   Test Documentation
759.  
760.                The system developer shall provide to the evaluators a document
761.                that describes the test plan, test procedures that show how the
762.                security mechanisms were tested, and results of the security 
763.                mechanisms' functional testing.
764.  
765.      2.2.4.4   Design Documentation
766.  
767.                Documentation shall be available that provides a description of
768.                the manufacturer's philosophy of protection and an explanation
769.                of how this philosophy is translated into the TCB.  If the TCB
770.                is composed of distinct modules, the interfaces between these
771.                modules shall be described.
772.  
773.     
774.  
775.                     3.0  DIVISION B:  MANDATORY PROTECTION
776.  
777.  
778. The notion of a TCB that preserves the integrity of sensitivity labels and
779. uses them to enforce a set of mandatory access control rules is a major
780. requirement in this division.  Systems in this division must carry the
781. sensitivity labels with major data structures in the system.  The system
782. developer also provides the security policy model on which the TCB is based
783. and furnishes a specification of the TCB.  Evidence must be provided to
784. demonstrate that the reference monitor concept has been implemented.
785.  
786.  
787.  
788. 3.1  CLASS (B1):  LABELED SECURITY PROTECTION
789.  
790. Class (B1) systems require all the features required for class (C2).  In
791. addition, an informal statement of the security policy model, data labeling,
792. and mandatory access control over named subjects and objects must be present.
793. The capability must exist for accurately labeling exported information.  Any
794. flaws identified by testing must be removed.  The following are minimal
795. requirements for systems assigned a class (B1) rating:
796.  
797. 3.1.1  Security Policy
798.  
799.      3.1.1.1   Discretionary Access Control
800.  
801.                The TCB shall define and control access between named users and
802.                named objects (e.g., files and programs) in the ADP system.  
803.                The enforcement mechanism (e.g., self/group/public controls, 
804.                access control lists) shall allow users to specify and control
805.                sharing of those objects by named individuals, or defined groups
806.                of individuals, or by both, and shall provide controls to limit
807.                propagation of access rights.  The discretionary access control
808.                mechanism shall, either by explicit user action or by default,
809.                provide that objects are protected from unauthorized access. 
810.                These access controls shall be capable of including or excluding
811.                access to the granularity of a single user.  Access permission
812.                to an object by users not already possessing access permission
813.                shall only be assigned by authorized users.
814.  
815.      3.1.1.2   Object Reuse
816.  
817.                All authorizations to the information contained within a
818.                storage object shall be revoked prior to initial assignment,
819.                allocation or reallocation to a subject from the TCB's pool
820.                of unused storage objects.  No information, including encrypted
821.                representations of information, produced by a prior subject's
822.                actions is to be available to any subject that obtains access
823.                to an object that has been released back to the system.
824.  
825.      3.1.1.3   Labels
826.  
827.                Sensitivity labels associated with each subject and storage
828.                object under its control (e.g., process, file, segment, device)
829.                shall be maintained by the TCB.  These labels shall be used as
830.                the basis for mandatory access control decisions.  In order to
831.                import non-labeled data, the TCB shall request and receive from
832.                an authorized user the security level of the data, and all such
833.                actions shall be auditable by the TCB.
834.  
835.           3.1.1.3.1  Label Integrity
836.  
837.                      Sensitivity labels shall accurately represent security
838.                      levels of the specific subjects or objects with which they
839.                      are associated.  When exported by the TCB, sensitivity
840.                      labels shall accurately and unambiguously represent the
841.                      internal labels and shall be associated with the
842.                      information being exported.
843.  
844.           3.1.1.3.2  Exportation of Labeled Information
845.  
846.                      The TCB shall designate each communication channel and
847.                      I/O device as either single-level or miltilevel.  Any
848.                      change in this designation shall be done manually and
849.                      shall be auditable by the TCB.  The TCB shall maintain
850.                      and be able to audit any change in the security level
851.                      or levels associated with a communication channel or 
852.                      I/O device.
853.  
854.                3.1.1.3.2.1  Exportation to Multilevel Devices
855.  
856.                           When the TCB exports an object to a multilevel I/O
857.                           device, the sensitivity label associated with that
858.                           object shall also be exported and shall reside on
859.                           the same physical medium as the exported
860.                           information and shall be in the same form
861.                           (i.e., machine-readable or human-readable form).
862.                           When the TCB exports or imports an object over a 
863.                           multilevel communication channel, the protocol
864.                           used on that channel shall provide for the
865.                           unambiguous pairing between the sensitivity labels
866.                           and the associated information that is sent or
867.                           received.
868.  
869.                3.1.1.3.2.2  Exportation to Single-Level Devices
870.  
871.                           Single-level I/O devices and single-level
872.                           communication channels are not required to
873.                           maintain the sensitivity labels of the information
874.                           they process.  However, the TCB shall include a
875.                           mechanism by which the TCb and an authorized user 
876.                           reliably communicate to designate the single
877.                           security level of information imported or exported
878.                           via single-level communication channels or I/O
879.                           devices.
880.  
881.                3.1.1.3.2.3  Labeling Human-Readable Output
882.  
883.                           The ADP system administrator shall be able to
884.                           specify the printable label names associated with
885.                           exported sensitivity labels.  The TCB shall mark
886.                           the beginning and end of all human-readable, paged,
887.                           hardcopy output (e.g., line printer output) with
888.                           human-readable sensitivity labels that properly*
889.                           represent the sensitivity of the output.  The TCB
890.                           shall, be default, mark the top and bottom of each
891.                           page of human-readable, paged, hardcopy output
892.                           (e.g., line printer output) with human-readable
893.                           sensitivity labels that properly* represent the
894.                           overall sensitivity of the output or that properly*
895.                           represent the sensitivity of the information on the
896.                           page.  The TCB shall, by default and in an
897.                           appropriate manner, mark other forms of human-
898.                           readable output (e.g., maps, graphics) with human-
899.                           readable sensitivity labels that properly*
900.                           represent the sensitivity of the touput.  Any
901.                           override of these marking defaults shall be
902.                           auditable by the TCB.
903.  
904.      3.1.1.4  Mandatory Access Control
905.  
906.                The TCB shall enforce a mandatory access control policy over
907.                all subjects and storage objects under its control (e.g.,
908.                processes, files, segments, devices).  These subjects and
909.                objects shall be assigned sensitivity labels that are a
910.                combination of hierarchical classification levels and
911.                non-hierarchical categories, and the labels shall be used as
912.                the basis for mandatory access control decisions.  The TCB
913.                shall be able to support two or more such security levels.
914.                (See the Mandatory Access Control Guidelines.)  The following
915.                requirements shall hold for all accesses between subjects and
916.                objects controlled by the TCB:  a subject can read an object
917.                only if the hierarchical classification in the subject's
918.                security level is greater than or equal to the hierarchical
919.                classification in the object's security level and the non-
920.                hierarchical categories in the subject's security level include
921.                all the non-hierarchical categories in the object's security
922.                level.  A subject can write an object only if the hierarchical
923.                classification in the subject's security level is less than or
924.                equal to the hierarchical classification in the object's 
925.                security level and all the non-hierarchical categories in the
926.                subject's security level are included in the non-hierarchical
927.                categories in the object's security level.  Identification 
928.                and authentication data shall be used by the TCB to authenti-
929.                cate the user's identity and to ensure that the security level
930.                and authorization of subjects external to the TCB that may be
931.                created to act on behalf of the individual user are dominated
932.                by the clearance and authorization of that user.
933.  
934. 3.1.2  Accountability
935.  
936.      3.1.2.1  Identification and Authentication
937.  
938.                The TCB shall require users to identify themselves to it before
939.                beginning to perform any other actions that the TCB is expected
940.                to mediate.  Furthermore, the TCB shall maintain authentication
941.                data that includes information for verifying the identity of
942.                individual users (e.g., passwords) as well as information for
943.                determining the clearance and authorizations or individual
944. _____________________________
945. * The hierarchical classification component in human-readable sensitivity
946. labels shall be equal to the greatest hierarchical classification or any of the
947. information in the output that the labels refer to; the non-hierarchical
948. category component shall include all of the non-hierarchical categories of the
949. information in the output the labels refer to, but no other non-hierarchical
950. categories.
951.  
952.                users.  This data shall be used by the TCB to authenticate the
953.                user's identity and to ensure that the security level and
954.                authorizations of subjects external to the TCB that may be
955.                created to act on behalf of the individual user are dominated
956.                by the clearance and authorization of that user.  The TCB shall
957.                protect authentication data so that it cannot be accessed by any
958.                unauthorized user.  The TCB shall be able to enforce individual
959.                accountability by providing the capability to uniquely identify
960.                each individual ADP system user.  The TCB shall also provide the
961.                capability of associating this identity with all auditable
962.                actions taken by that individual.
963.  
964.      3.1.2.2   Audit
965.  
966.                The TCB shall be able to create, maintain, and protect from
967.                modification or unauthorized access or destruction an audit
968.                trail of accesses to the objects it protects.  The audit data
969.                shall be protected by the TCB so that read access to it is
970.                limited to those who are authorized for audit data.  The TCB
971.                shall be able to record the following types of events: use of
972.                identification and authentication mechanisms, introduction of
973.                objects into a user's address space (e.g., file open, program
974.                initiation), deletion of objects, and actions taken by computer
975.                operators and system administrators and/or system security
976.                officers and other security relevant events.  The TCB shall also
977.                be able to audit any override of human-readable output markings.
978.                For each recorded event, the audit record shall identify: date
979.                and time of the event, user, type of event, and success or
980.                failure of the event.  For identification/authentication events
981.                the origin of request (e.g., terminal ID) shall be included in
982.                the audit record.  For events that introduce an object into a
983.                user's address space and for object deletion events the audit
984.                record shall include the name of the object and the object's
985.                security level.  The ADP system administrator shall be able to
986.                selectively audit the actions of any one or more users based on
987.                individual identity and/or object security level.
988.  
989. 3.1.3  Assurance
990.  
991.      3.1.3.1   Operational Assurance
992.  
993.           3.1.3.1.1  System Architecture
994.  
995.                      The TCB shall maintain a domain for its own execution
996.                      that protects it from external interference or tampering
997.                      (e.g., by modification of its code or data structures). 
998.                      Resources controlled by the TCB may be a defined subset
999.                      of the subjects and objects in the ADP system.  The TCB
1000.                      shall maintain process isolation through the provision of
1001.                      distinct address spaces under its control.  The TCB shall
1002.                      isolate the resources to be protected so that they are
1003.                      subject to the access control and auditing requirements.
1004.  
1005.           3.1.3.1.2  System Integrity
1006.  
1007.                      Hardware and/or software features shall be provided that
1008.                      can be used to periodically validate the correct operation
1009.                      of the on-site hardware and firmware elements of the TCB.
1010.  
1011.      3.1.3.2   Life-Cycle Assurance
1012.  
1013.           3.1.3.2.1  Security Testing
1014.  
1015.                      The security mechanisms of the ADP system shall be tested
1016.                      and found to work as claimed in the system documentation.
1017.                      A team of individuals who thoroughly understand the
1018.                      specific implementation of the TCB shall subject its
1019.                      design documentation, source code, and object code to
1020.                      thorough analysis and testing.  Their objectives shall be:
1021.                      to uncover all design and implementation flaws that would
1022.                      permit a subject external to the TCB to read, change, or
1023.                      delete data normally denied under the mandatory or
1024.                      discretionary security policy enforced by the TCB; as well
1025.                      as to assure that no subject (without authorization to do
1026.                      so) is able to cause the TCB to enter a state such that
1027.                      it is unable to respond to communications initiated by
1028.                      other users.  All discovered flaws shall be removed or
1029.                      neutralized and the TCB retested to demonstrate that they
1030.                      have been eliminated and that new flaws have not been
1031.                      introduced.  (See the Security Testing Guidelines.)
1032.  
1033.           3.1.3.2.2  Design Specification and Verification
1034.  
1035.                      An informal or formal model of the security policy
1036.                      supported by the TCB shall be maintained over the life
1037.                      cycle of the ADP system and demonstrated to be consistent
1038.                      with its axioms.
1039.  
1040. 3.1.4  Documentation
1041.  
1042.      3.1.4.1   Security Features User's Guide
1043.  
1044.                A single summary, chapter, or manual in user documentation
1045.                shall describe the protection mechanisms provided by the TCB,
1046.                guidelines on their use, and how they interact with one another.
1047.  
1048.      3.1.4.2   Trusted Facility Manual
1049.  
1050.                A manual addressed to the ADP system administrator shall
1051.                present cautions about functions and privileges that should be
1052.                controlled when running a secure facility.  The procedures for
1053.                examining and maintaining the audit files as well as the
1054.                detailed audit record structure for each type of audit event
1055.                shall be given.  The manual shall describe the operator and
1056.                administrator functions related to security, to include changing
1057.                the security characteristics of a user.  It shall provide
1058.                guidelines on the consistent and effective use of the protection
1059.                features of the system, how they interact, how to securely
1060.                generate a new TCB, and facility procedures, warnings, and
1061.                privileges that need to be controlled in order to operate the
1062.                facility in a secure manner.
1063.  
1064.      3.1.4.3   Test Documentation
1065.  
1066.                The system developer shall provide to the evaluators a document
1067.                that describes the test plan, test procedures that show how the
1068.                security mechanisms were tested, and results of the security 
1069.                mechanisms' functional testing.
1070.  
1071.      3.1.4.4   Design Documentation
1072.  
1073.                Documentation shall be available that provides a description of
1074.                the manufacturer's philosophy of protection and an explanation
1075.                of how this philosophy is translated into the TCB.  If the TCB
1076.                is composed of distinct modules, the interfaces between these
1077.                modules shall be described.  An informal or formal description
1078.                of the security policy model enforced by the TCB shall be
1079.                available and an explanation provided to show that it is
1080.                sufficient to enforce the security policy.  The specific TCB
1081.                protection mechanisms shall be identified and an explanation
1082.                given to show that they satisfy the model.
1083.  
1084.  
1085. 3.2  CLASS (B2):  STRUCTURED PROTECTION
1086.  
1087. In class (B2) systems, the TCB is based on a clearly defined and documented
1088. formal security policy model that requires the discretionary and mandatory
1089. access control enforcement found in class (B1) systems be extended to all
1090. subjects and objects in the ADP system.  In addition, covert channels are
1091. addressed.  The TCB must be carefully structured into protection-critical and
1092. non- protection-critical elements.  The TCB interface is well-defined and the
1093. TCB design and implementation enable it to be subjected to more thorough
1094. testing and more complete review.  Authentication mechanisms are strengthened,
1095. trusted facility management is provided in the form of support for system
1096. administrator and operator functions, and stringent configuration management
1097. controls are imposed.  The system is relatively resistant to penetration.  The
1098. following are minimal requirements for systems assigned a class (B2) rating:
1099.  
1100. 3.2.1  Security Policy
1101.  
1102.      3.2.1.1   Discretionary Access Control
1103.  
1104.                The TCB shall define and control access between named users and
1105.                named objects (e.g., files and programs) in the ADP system.
1106.                The enforcement mechanism (e.g., self/group/public controls,
1107.                access control lists) shall allow users to specify and control
1108.                sharing of those objects by named individuals, or defined
1109.                groups of individuals, or by both, and shall provide controls 
1110.                to limit propagation of access rights.  The discretionary access
1111.                control mechanism shall, either by explicit user action or by
1112.                default, provide that objects are protected from unauthorized
1113.                access.  These access controls shall be capable of including
1114.                or excluding access to the granularity of a single user.
1115.                Access permission to an object by users not already possessing
1116.                access permission shall only be assigned by authorized users.
1117.  
1118.      3.2.1.2   Object Reuse
1119.  
1120.                All authorizations to the information contained within a
1121.                storage object shall be revoked prior to initial assignment,
1122.                allocation or reallocation to a subject from the TCB's pool of 
1123.                unused storage objects.  No information, including encrypted
1124.                representations of information, produced by a prior subject's
1125.                actions is to be available to any subject that obtains access
1126.                to an object that has been released back to the system.
1127.  
1128.      3.2.1.3   Labels
1129.  
1130.                Sensitivity labels associated with each ADP system resource
1131.                (e.g., subject, storage object, ROM) that is directly or
1132.                indirectly accessible by subjects external to the TCB shall be
1133.                maintained by the TCB.  These labels shall be used as the basis
1134.                for mandatory access control decisions.  In order to import 
1135.                non-labeled data, the TCB shall request and receive from an
1136.                authorized user the security level of the data, and all such
1137.                actions shall be auditable by the TCB.
1138.  
1139.           3.2.1.3.1  Label Integrity
1140.  
1141.                      Sensitivity labels shall accurately represent security
1142.                      levels of the specific subjects or objects with which
1143.                      they are associated.  When exported by the TCB,
1144.                      sensitivity labels shall accurately and unambiguously
1145.                      represent the internal labels and shall be associated
1146.                      with the information being exported.
1147.  
1148.           3.2.1.3.2  Exportation of Labeled Information
1149.  
1150.                      The TCB shall designate each communication channel and
1151.                      I/O device as either single-level or multilevel.  Any
1152.                      change in this designation shall be done manually and
1153.                      shall be auditable by the TCB.  The TCB shall maintain
1154.                      and be able to audit any change in the security level
1155.                      or levels associated with a communication channel or 
1156.                      I/O device.
1157.  
1158.                3.2.1.3.2.1  Exportation to Multilevel Devices
1159.  
1160.                           When the TCB exports an object to a multilevel I/O
1161.                           device, the sensitivity label associated with that
1162.                           object shall also be exported and shall reside on
1163.                           the same physical medium as the exported 
1164.                           information and shall be in the same form (i.e., 
1165.                           machine-readable or human-readable form).  When
1166.                           the TCB exports or imports an object over a
1167.                           multilevel communication channel, the protocol
1168.                           used on that channel shall provide for the
1169.                           unambiguous pairing between the sensitivity labels
1170.                           and the associated information that is sent or
1171.                           received.
1172.  
1173.                3.2.1.3.2.2  Exportation to Single-Level Devices
1174.  
1175.                           Single-level I/O devices and single-level
1176.                           communication channels are not required to 
1177.                           maintain the sensitivity labels of the
1178.                           information they process.  However, the TCB shall
1179.                           include a mechanism by which the TCB and an
1180.                           authorized user reliably communicate to designate
1181.                           the single security level of information imported
1182.                           or exported via single-level communication 
1183.                           channels or I/O devices.
1184.  
1185.                3.2.1.3.2.3  Labeling Human-Readable Output
1186.  
1187.                           The ADP system administrator shall be able to
1188.                           specify the printable label names associated with
1189.                           exported sensitivity labels.  The TCB shall mark
1190.                           the beginning and end of all human-readable, paged,
1191.                           hardcopy output (e.g., line printer output) with
1192.                           human-readable sensitivity labels that properly*
1193.                           represent the sensitivity of the output.  The TCB
1194.                           shall, by default, mark the top and bottom of each
1195.                           page of human-readable, paged, hardcopy output
1196.                           (e.g., line printer output) with human-readable
1197.                           sensitivity labels that properly* represent the
1198.                           overall sensitivity of the output or that 
1199.                           properly* represent the sensitivity of the
1200.                           information on the page.  The TCB shall, by
1201.                           default and in an appropriate manner, mark other
1202.                           forms of human-readable output (e.g., maps,
1203.                           graphics) with human-readable sensitivity labels
1204.                           that properly* represent the sensitivity of the
1205.                           output.  Any override of these marking defaults
1206.                           shall be auditable by the TCB.
1207.  
1208.           3.2.1.3.3  Subject Sensitivity Labels
1209.  
1210.                      The TCB shall immediately notify a terminal user of each
1211.                      change in the security level associated with that user
1212.                      during an interactive session.  A terminal user shall be
1213.                      able to query the TCB as desired for a display of the
1214.                      subject's complete sensitivity label.
1215.  
1216.           3.2.1.3.4  Device Labels
1217.  
1218.                      The TCB shall support the assignment of minimum and
1219.                      maximum security levels to all attached physical devices.
1220.                      These security levels shall be used by the TCB to enforce
1221.                      constraints imposed by the physical environments in which
1222.                      the devices are located.
1223.  
1224.      3.2.1.4   Mandatory Access Control
1225.  
1226.                The TCB shall enforce a mandatory access control policy over
1227.                all resources (i.e., subjects, storage objects, and I/O devices
1228.                that are directly or indirectly accessible by subjects external
1229.                to the TCB.  These subjects and objects shall be assigned
1230.                sensitivity labels that are a combination of hierarchical
1231.                classification levels and non-hierarchical categories, and the
1232.                labels shall be used as the basis for mandatory access control
1233.                decisions.  The TCB shall be able to support two or more such
1234.                security levels.  (See the Mandatory Access Control guidelines.)
1235.                The following requirements shall hold for all accesses between
1236.                All subjects external to the TCB and all objects directly or
1237.                indirectly accessible by these subjects:  A subject can read an
1238.                object only if the hierarchical classification in the subject's
1239.                security level is greater than or equal to the hierarchical
1240.                classification in the object's security level and the non-
1241.                hierarchical categories in the subject's security level include
1242.                all the non-hierarchical categories in the object's security
1243.                level.  A subject can write an object only if the hierarchical
1244.                classification in the subject's security level is less than or
1245.                equal to the hierarchical classification in the object's
1246.                security level and all the non-hierarchical categories in the
1247.                subject's security level are included in the non-hierarchical
1248.                categories in the object's security level.  Identification and
1249.                authentication data shall be used by the TCB to authenticate
1250.                the user's identity and to ensure that the security level and
1251.                authorization of subjects external to the TCB that may be
1252.                created to act on behalf of the individual user are dominated
1253.                by the clearance and authorization of that user.
1254.  
1255. 3.2.2  Accountability
1256.  
1257.      3.2.2.1   Identification and Authentication
1258.  
1259.                The TCB shall require users to identify themselves to it before
1260.                beginning to perform any other actions that the TCB is expected
1261.                to mediate.  Furthermore, the TCB shall maintain authentication
1262.                data that includes information for verifying the identity of
1263.                individual users (e.g., passwords) as well as information for
1264.                determining the clearance and authorizations of individual
1265.                users.  This data shall be used by the TCB to authenticate the
1266.                user's identity and to ensure that the security level and
1267.                authorizations of subjects external to the TCB that may be
1268.                created to act on behalf of the individual user are dominated by
1269.                the clearance and authorization of that user.  The TCB shall
1270.                protect authentication data so that it cannot be accessed by any
1271.                unauthorized user.  The TCB shall be able to enforce individual
1272.                accountability by providing the capability to uniquely identify
1273.                each individual ADP system user.  The TCB shall also provide the
1274.                capability of associating this identity with all auditable
1275.                actions taken by that individual.
1276.  
1277.           3.2.2.1.1  Trusted Path
1278.  
1279.                      The TCB shall support a trusted communication path
1280.                      between itself and user for initial login and
1281.                      authentication.  Communications via this path shall be
1282.                      initiated exclusively by a user.
1283.  
1284.      3.2.2.2   Audit
1285.  
1286.                The TCB shall be able to create, maintain, and protect from
1287.                modification or unauthorized access or destruction an audit
1288.                trail of accesses to the objects it protects.  The audit data
1289.                shall be protected by the TCB so that read access to it is
1290.                limited to those who are authorized for audit data.  The TCB
1291.                shall be able to record the following types of events: use of
1292.                identification and authentication mechanisms, introduction of
1293.                objects into a user's address space (e.g., file open, program
1294.                initiation), deletion of objects, and actions taken by computer
1295.                operators and system administrators and/or system security
1296.                officers, and other security relevant events.  The TCB shall
1297.                also be able to audit any override of human-readable output
1298.                markings.  For each recorded event, the audit record shall
1299.                identify:  date and time of the event, user, type of event, and
1300.                success or failure of the event.  For identification/
1301.                authentication events the origin of request (e.g., terminal ID)
1302.                shall be included in the audit record.  For events that
1303.                introduce an object into a user's address space and for object
1304.                deletion events the audit record shall include the name of the
1305.                object and the object's security level.  The ADP system
1306.                administrator shall be able to selectively audit the actions of
1307.                any one or more users based on individual identity and/or object
1308.                security level.  The TCB shall be able to audit the identified
1309.                events that may be used in the exploitation of covert storage
1310.                channels.
1311.  
1312. 3.2.3  Assurance
1313.  
1314.      3.2.3.1   Operational Assurance
1315.  
1316.           3.2.3.1.1  System Architecture
1317.  
1318.                      The TCB shall maintain a domain for its own execution
1319.                      that protects it from external interference or tampering
1320.                      (e.g., by modification of its code or data structures).
1321.                      The TCB shall maintain process isolation through the
1322.                      provision of distinct address spaces under its control.
1323.                      The TCB shall be internally structured into well-defined
1324.                      largely independent modules.  It shall make effective use
1325.                      of available hardware to separate those elements that are
1326.                      protection-critical from those that are not.  The TCB
1327.                      modules shall be designed such that the principle of least
1328.                      privilege is enforced.  Features in hardware, such as
1329.                      segmentation, shall be used to support logically distinct
1330.                      storage objects with separate attributes (namely:
1331.                      readable, writeable).  The user interface to the TCB
1332.                      shall be completely defined and all elements of the TCB
1333.                      identified.
1334.  
1335.           3.2.3.1.2  System Integrity
1336.  
1337.                      Hardware and/or software features shall be provided that
1338.                      can be used to periodically validate the correct 
1339.                      operation of the on-site hardware and firmware elements 
1340.                      of the TCB.
1341.  
1342.           3.2.3.1.3  Covert Channel Analysis
1343.  
1344.                      The system developer shall conduct a thorough search for
1345.                      covert storage channels and make a determination (either
1346.                      by actual measurement or by engineering estimation) of
1347.                      the maximum bandwidth of each identified channel.  (See
1348.                      the covert channels guideline section.)
1349.  
1350.           3.2.3.1.4  Trusted Facility Management
1351.  
1352.                      The TCB shall support separate operator and administrator
1353.                      functions.
1354.  
1355.      3.2.3.2   Life-Cycle Assurance
1356.  
1357.           3.2.3.2.1  Security Testing
1358.  
1359.                      The security mechanisms of the ADP system shall be tested
1360.                      and found to work as claimed in the system documentation. 
1361.                      A team of individuals who thoroughly understand the
1362.                      specific implementation of the TCB shall subject its
1363.                      design documentation, source code, and object code to
1364.                      thorough analysis and testing.  Their objectives shall be:
1365.                      to uncover all design and implementation flaws that would
1366.                      permit a subject external to the TCB to read, change, or
1367.                      delete data normally denied under the mandatory or
1368.                      discretionary security policy enforced by the TCB; as well
1369.                      as to assure that no subject (without authorization to do
1370.                      so) is able to cause the TCB to enter a state such that it
1371.                      is unable to respond to communications initiated by other
1372.                      users.  The TCB shall be found relatively resistant to
1373.                      penetration.  All discovered flaws shall be corrected and
1374.                      the TCB retested to demonstrate that they have been
1375.                      eliminated and that new flaws have not been introduced.
1376.                      Testing shall demonstrate that the TCB implementation is
1377.                      consistent with the descriptive top-level specification.
1378.                      (See the Security Testing Guidelines.)
1379.  
1380.           3.2.3.2.2  Design Specification and Verification
1381.  
1382.                      A formal model of the security policy supported by the
1383.                      TCB shall be maintained over the life cycle of the ADP
1384.                      system that is proven consistent with its axioms.  A
1385.                      descriptive top-level specification (DTLS) of the TCB
1386.                      shall be maintained that completely and accurately
1387.                      describes the TCB in terms of exceptions, error messages,
1388.                      and effects.  It shall be shown to be an accurate
1389.                      description of the TCB interface.
1390.  
1391.           3.2.3.2.3  Configuration Management
1392.  
1393.                      During development and maintenance of the TCB, a
1394.                      configuration management system shall be in place that
1395.                      maintains control of changes to the descriptive top-level
1396.                      specification, other design data, implementation
1397.                      documentation, source code, the running versionof the
1398.                      object code, and test fixtures and documentation.  The
1399.                      configuration management system shall assure a consistent
1400.                      mapping among all documentation and code associated with 
1401.                      the current version of the TCB.  Tools shall be provided
1402.                      for generation of a new version of the TCB from source
1403.                      code.  Also available shall be tools for comparing a
1404.                      newly generated version with the previous TCB version in
1405.                      order to ascertain that only the intended changes have
1406.                      been made in the code that will actually be used as the
1407.                      new version of the TCB.
1408.  
1409. 3.2.4  Documentation
1410.  
1411.      3.2.4.1   Security Features User's Guide
1412.  
1413.                A single summary, chapter, or manual in user documentation
1414.                shall describe the protection mechanisms provided by the TCB,
1415.                guidelines on their use, and how they interact with one another.
1416.  
1417.      3.2.4.2   Trusted Facility Manual
1418.  
1419.                A manual addressed to the ADP system administrator shall
1420.                present cautions about functions and privileges that should be
1421.                controlled when running a secure facility.  The procedures for
1422.                examining and maintaining the audit files as well as the
1423.                detailed audit record structure for each type of audit event
1424.                shall be given.  The manual shall describe the operator and
1425.                administrator functions related to security, to include 
1426.                changing the security characteristics of a user.  It shall
1427.                provide guidelines on the consistent and effective use of the
1428.                protection features of the system, how they interact, how to
1429.                securely generate a new TCB, and facility procedures, warnings,
1430.                and privileges that need to be controlled in order to operate
1431.                the facility in a secure manner.  The TCB modules that contain
1432.                the reference validation mechanism shall be identified.  The
1433.                procedures for secure generation of a new TCB from source after
1434.                modification of any modules in the TCB shall be described.
1435.  
1436.      3.2.4.3   Test Documentation
1437.  
1438.                The system developer shall provide to the evaluators a document
1439.                that describes the test plan, test procedures that show how the
1440.                security mechanisms were tested, and results of the security
1441.                mechanisms' functional testing.  It shall include results of
1442.                testing the effectiveness of the methods used to reduce covert
1443.                channel bandwidths.
1444.  
1445.      3.2.4.4   Design Documentation
1446.  
1447.                Documentation shall be available that provides a description of
1448.                the manufacturer's philosophy of protection and an explanation
1449.                of how this philosophy is translated into the TCB.  The
1450.                interfaces between the TCB modules shall be described.  A
1451.                formal description of the security policy model enforced by the
1452.                TCB shall be available and proven that it is sufficient to
1453.                enforce the security policy.  The specific TCB protection 
1454.                mechanisms shall be identified and an explanation given to show
1455.                that they satisfy the model.  The descriptive top-level
1456.                specification (DTLS) shall be shown to be an accurate
1457.                description of the TCB interface.  Documentation shall describe
1458.                how the TCB implements the reference monitor concept and give
1459.                an explanation why it is tamper resistant, cannot be bypassed,
1460.                and is correctly implemented.  Documentation shall describe how
1461.                the TCB is structured to facilitate testing and to enforce least
1462.                privilege.  This documentation shall also present the results
1463.                of the covert channel analysis and the tradeoffs involved in
1464.                restricting the channels.  All auditable events that may be
1465.                used in the exploitation of known covert storage channels shall
1466.                be identified.  The bandwidths of known covert storage channels
1467.                the use of which is not detectable by the auditing mechanisms,
1468.                shall be provided.  (See the Covert Channel Guideline section.)
1469.  
1470.  
1471. 3.3  CLASS (B3):  SECURITY DOMAINS
1472.  
1473. The class (B3) TCB must satisfy the reference monitor requirements that it
1474. mediate all accesses of subjects to objects, be tamperproof, and be small
1475. enough to be subjected to analysis and tests.  To this end, the TCB is
1476. structured to exclude code not essential to security policy enforcement, with
1477. significant system engineering during TCB design and implementation directed
1478. toward minimizing its complexity.  A security administrator is supported,
1479. audit mechanisms are expanded to signal security- relevant events, and system
1480. recovery procedures are required.  The system is highly resistant to
1481. penetration.  The following are minimal requirements for systems assigned a
1482. class (B3) rating:
1483.  
1484. 3.1.1  Security Policy
1485.  
1486.      3.3.1.1   Discretionary Access Control
1487.  
1488.                The TCB shall define and control access between named users and
1489.                named objects (e.g., files and programs) in the ADP system.
1490.                The enforcement mechanism (e.g., access control lists) shall
1491.                allow users to specify and control sharing of those objects,
1492.                and shall provide controls to limit propagation of access
1493.                rights.  The discretionary access control mechanism shall,
1494.                either by explicit user action or by default, provide that
1495.                objects are protected from unauthorized access.  These access
1496.                controls shall be capable of specifying, for each named object,
1497.                a list of named individuals and a list of groups of named
1498.                individuals with their respective modes of access to that
1499.                object.  Furthermore, for each such named object, it shall be
1500.                possible to specify a list of named individuals and a list of
1501.                groups of named individuals for which no access to the object is
1502.                to be given.  Access permission to an object by users not
1503.                already possessing access permission shall only be assigned by
1504.                authorized users.
1505.  
1506.      3.3.1.2   Object Reuse
1507.  
1508.                All authorizations to the information contained within a
1509.                storage object shall be revoked prior to initial assignment,
1510.                allocation or reallocation to a subject from the TCB's pool
1511.                of unused storage objects.  No information, including 
1512.                encrypted representations of information, produced by a prior
1513.                subjects actions is to be available to any subject that obtains
1514.                access to an object that has been released back to the system.
1515.  
1516.      3.3.1.3   Labels
1517.  
1518.                Sensitivity labels associated with each ADP system resource
1519.                (e.g., subject, storage object, ROM) that is directly or
1520.                indirectly accessible by subjects external to the TCB shall be
1521.                maintained by the TCB.  These labels shall be used as the basis
1522.                for mandatory access control decisions.  In order to import 
1523.                non-labeled data, the TCB shall request and receive from an
1524.                authorized user the security level of the data, and all such
1525.                actions shall be auditable by the TCB.
1526.  
1527.           3.3.1.3.1  Label Integrity
1528.  
1529.                      Sensitivity labels shall accurately represent security
1530.                      levels of the specific subjects or objects with which
1531.                      they are associated.  When exported by the TCB,
1532.                      sensitivity labels shall accurately and unambiguously
1533.                      represent the internal labels and shall be associated
1534.                      with the information being exported.
1535.  
1536.           3.3.1.3.2  Exportation of Labeled Information
1537.  
1538.                      The TCB shall designate each communication channel and
1539.                      I/O device as either single-level or multilevel.  Any
1540.                      change in this designation shall be done manually and
1541.                      shall be auditable by the TCB.  The TCB shall maintain
1542.                      and be able to audit any change in the security level
1543.                      or levels associated with a communication channel or
1544.                      I/O device.
1545.  
1546.                3.3.1.3.2.1  Exportation to Multilevel Devices
1547.  
1548.                             When the TCB exports an object to a multilevel I/O
1549.                             device, the sensitivity label associated with that
1550.                             object shall also be exported and shall reside on
1551.                             the same physical medium as the exported 
1552.                             information and shall be in the same form (i.e., 
1553.                             machine-readable or human-readable form).  When
1554.                             the TCB exports or imports an object over a
1555.                             multilevel communication channel, the protocol 
1556.                             used on that channel shall provide for the
1557.                             unambiguous pairing between the sensitivity labels
1558.                             and the associated information that is sent or
1559.                             received.
1560.  
1561.                3.3.1.3.2.2  Exportation to Single-Level Devices
1562.  
1563.                             Single-level I/O devices and single-level
1564.                             communication channels are not required to 
1565.                             maintain the sensitivity labels of the information
1566.                             they process.  However, the TCB shall include a 
1567.                             mechanism by which the TCB and an authorized user
1568.                             reliably communicate to designate the single
1569.                             security level of information imported or exported
1570.                             via single-level communication channels or I/O
1571.                             devices.
1572.  
1573.                3.3.1.3.2.3  Labeling Human-Readable Output
1574.  
1575.                             The ADP system administrator shall be able to
1576.                             specify the printable label names associated with
1577.                             exported sensitivity labels.  The TCB shall mark
1578.                             the beginning and end of all human-readable, paged,
1579.                             hardcopy output (e.g., line printer output) with
1580.                             human-readable sensitivity labels that properly*
1581.                             represent the sensitivity of the output.  The TCB
1582.                             shall, by default, mark the top and bottom of each
1583.                             page of human-readable, paged, hardcopy output
1584.                             (e.g., line printer output) with human-readable
1585.                             sensitivity labels that properly* represent the
1586.                             overall sensitivity of the output or that
1587.                             properly* represent the sensitivity of the 
1588.                             information on the page.  The TCB shall, by
1589.                             default and in an appropriate manner, mark other
1590.                             forms of human-readable output (e.g., maps,
1591.                             graphics) with human-readable sensitivity labels
1592.                             that properly* represent the sensitivity of the 
1593.                             output.  Any override of these marking defaults
1594.                             shall be auditable by the TCB.
1595.  
1596.           3.3.1.3.3  Subject Sensitivity Labels
1597.  
1598.                      The TCB shall immediately notify a terminal user of each
1599.                      change in the security level associated with that user
1600.                      during an interactive session.  A terminal user shall be
1601.                      able to query the TCB as desired for a display of the
1602.                      subject's complete sensitivity label.
1603.  
1604.           3.3.1.3.4  Device Labels
1605.  
1606.                      The TCB shall support the assignment of minimum and
1607.                      maximum security levels to all attached physical devices.
1608.                      These security levels shall be used by the TCB to enforce
1609.                      constraints imposed by the physical environments in which
1610.                      the devices are located.
1611.  
1612.      3.3.1.4   Mandatory Access Control
1613.  
1614.                The TCB shall enforce a mandatory access control policy over
1615.                all resources (i.e., subjects, storage objects, and I/O 
1616.                devices) that are directly or indirectly accessible by subjects
1617.                external to the TCB.  These subjects and objects shall be
1618.                assigned sensitivity labels that are a combination of
1619.                hierarchical classification levels and non-hierarchical
1620.                categories, and the labels shall be used as the basis for 
1621.                mandatory access control decisions.  The TCB shall be able to
1622.                support two or more such security levels.  (See the Mandatory
1623. ______________________________
1624. * The hierarchical classification component in human-readable sensitivity
1625. labels shall be equal to the greatest hierarchical classification of any of the
1626. information in the output that the labels refer to; the non-hierarchical
1627. category component shall include all of the non-hierarchical categories of the
1628. information in the output the labels refer to, but no other non-hierarchical
1629. categories.
1630.  
1631.                Access Control guidelines.)  The following requirements shall
1632.                hold for all accesses between all subjects external to the TCB
1633.                and all objects directly or indirectly accessible by these 
1634.                subjects: A subject can read an object only if the hierarchical
1635.                classification in the subject's security level is greater than
1636.                or equal to the hierarchical classification in the object's
1637.                security level and the non-hierarchical categories in the
1638.                subject's security level include all the non-hierarchical
1639.                categories in the object's security level.  A subject can write
1640.                an object only if the hierarchical classification in the 
1641.                subject's security level is less than or equal to the
1642.                hierarchical classification in the object's security level and
1643.                all the non-hierarchical categories in the subject's security 
1644.                level are included in the non- hierarchical categories in the 
1645.                object's security level.  Identification and authentication 
1646.                data shall be used by the TCB to authenticate the user's
1647.                identity and to ensure that the security level and authori-
1648.                zation of subjects external to the TCB that may be created 
1649.                to act on behalf of the individual user are dominated by the
1650.                clearance and authorization of that user.
1651.  
1652. 3.3.2  Accountability
1653.  
1654.      3.3.2.1   Identification and Authentication
1655.  
1656.                The TCB shall require users to identify themselves to it before
1657.                beginning to perform any other actions that the TCB is expected
1658.                to mediate.  Furthermore, the TCB shall maintain authentication
1659.                data that includes information for verifying the identity of
1660.                individual users (e.g., passwords) as well as information for
1661.                determining the clearance and authorizations of individual
1662.                users.  This data shall be used by the TCB to authenticate the
1663.                user's identity and to ensure that the security level and 
1664.                authorizations of subjectsexternal to the TCB that may be
1665.                created to act on behalf of the individual user are dominated
1666.                by the clearance and authorization of that user.  The TCB shall
1667.                protect authentication data so that it cannot be accessed by any
1668.                unauthorized user.  The TCB shall be able to enforce individual
1669.                accountability by providing the capability to uniquely identify
1670.                each individual ADP system user.  The TCB shall also provide the
1671.                capability of associating this identity with all auditable
1672.                actions taken by that individual.
1673.  
1674.           3.3.2.1.1  Trusted Path
1675.  
1676.                      The TCB shall support a trusted communication path
1677.                      between itself and users for use when a positive TCB-to-
1678.                      user connection is required (e.g., login, change subject
1679.                      security level).  Communications via this trusted path
1680.                      shall be activated exclusively by a user of the TCB and
1681.                      shall be logically isolated and unmistakably
1682.                      distinguishable from other paths.
1683.  
1684.      3.3.2.2   Audit
1685.  
1686.                The TCB shall be able to create, maintain, and protect from
1687.                modification or unauthorized access or destruction an audit 
1688.                trail of accesses to the objects it protects.  The audit data
1689.                shall be protected by the TCB so that read access to it is
1690.                limited to those who are authorized for audit data.  The TCB
1691.                shall be able to record the following types of events: use of
1692.                identification and authentication mechanisms, introduction of
1693.                objects into a user's address space (e.g., file open, program
1694.                initiation), deletion of objects, and actions taken by computer
1695.                operators and system administrators and/or system security
1696.                officers and other security relevant events.  The TCB shall also
1697.                be able to audit any override of human-readable output markings.
1698.                For each recorded event, the audit record shall identify:  date
1699.                and time of the event, user, type of event, and success or
1700.                failure of the event.  For identification/authentication events
1701.                the origin of request (e.g., terminal ID) shall be included in
1702.                the audit record.  For events that introduce an object into a
1703.                user's address space and for object deletion events the audit
1704.                record shall include the name of the object and the object's
1705.                security level.  The ADP system administrator shall be able to
1706.                selectively audit the actions of any one or more users based on
1707.                individual identity and/or object security level.  The TCB shall
1708.                be able to audit the identified events that may be used in the
1709.                exploitation of covert storage channels.  The TCB shall contain
1710.                a mechanism that is able to monitor the occurrence or
1711.                accumulation of security auditable events that may indicate an
1712.                imminent violation of security policy.  This mechanism shall be
1713.                able to immediately notify the security administrator when
1714.                thresholds are exceeded, and if the occurrence or accumulation
1715.                of these security relevant events continues, the system shall
1716.                take the least disruptive action to terminate the event.
1717.  
1718. 3.3.3  Assurance
1719.  
1720.      3.3.3.1   Operational Assurance
1721.  
1722.           3.3.3.1.1  System Architecture
1723.  
1724.                      The TCB shall maintain a domain for its own execution
1725.                      that protects it from external interference or tampering
1726.                      (e.g., by modification of its code or data structures).
1727.                      The TCB shall maintain process isolation through the
1728.                      provision of distinct address spaces under its control.
1729.                      The TCB shall be internally structured into well-defined
1730.                      largely independent modules.  It shall make effective use
1731.                      of available hardware to separate those elements that are
1732.                      protection-critical from those that are not.  The TCB
1733.                      modules shall be designed such that the principle of 
1734.                      least privilege is enforced.  Features in hardware, such
1735.                      as segmentation, shall be used to support logically
1736.                      distinct storage objects with separate attributes (namely:
1737.                      readable, writeable).  The user interface to the TCB shall
1738.                      be completely defined and all elements of the TCB
1739.                      identified.  The TCB shall be designed and structured to
1740.                      use a complete, conceptually simple protection mechanism
1741.                      with precisely defined semantics.  This mechanism shall
1742.                      play a central role in enforcing the internal structuring
1743.                      of the TCB and the system.  The TCB shall incorporate
1744.                      significant use of layering, abstraction and data hiding.
1745.                      Significant system engineering shall be directed toward
1746.                      minimizing the complexity of the TCB and excluding from 
1747.                      the TCB modules that are not protection-critical.
1748.  
1749.           3.3.3.1.2  System Integrity
1750.  
1751.                      Hardware and/or software features shall be provided that
1752.                      can be used to periodically validate the correct 
1753.                      operation of the on-site hardware and firmware elements 
1754.                      of the TCB.
1755.  
1756.           3.3.3.1.3  Covert Channel Analysis
1757.  
1758.                      The system developer shall conduct a thorough search for
1759.                      covert channels and make a determination (either by 
1760.                      actual measurement or by engineering estimation) of the
1761.                      maximum bandwidth of each identified channel.  (See the
1762.                      Covert Channels Guideline section.)
1763.  
1764.           3.3.3.1.4  Trusted Facility Management
1765.  
1766.                      The TCB shall support separate operator and administrator
1767.                      functions.  The functions performed in the role of a
1768.                      security administrator shall be identified.  The ADP
1769.                      system administrative personnel shall only be able to
1770.                      perform security administrator functions after taking a
1771.                      distinct auditable action to assume the security
1772.                      administrator role on the ADP system.  Non-security
1773.                      functions that can be performed in the security
1774.                      administration role shall be limited strictly to those
1775.                      essential to performing the security role effectively.
1776.  
1777.           3.3.3.1.5  Trusted Recovery
1778.  
1779.                      Procedures and/or mechanisms shall be provided to assure
1780.                      that, after an ADP system failure or other discontinuity,
1781.                      recovery without a protection compromise is obtained.
1782.  
1783.      3.3.3.2   Life-Cycle Assurance
1784.  
1785.           3.3.3.2.1  Security Testing
1786.  
1787.                      The security mechanisms of the ADP system shall be tested
1788.                      and found to work as claimed in the system documentation.
1789.                      A team of individuals who thoroughly understand the
1790.                      specific implementation of the TCB shall subject its
1791.                      design documentation, source code, and object code to
1792.                      thorough analysis and testing.  Their objectives shall 
1793.                      be: to uncover all design and implementation flaws that
1794.                      would permit a subject external to the TCB to read,
1795.                      change, or delete data normally denied under the 
1796.                      mandatory or discretionary security policy enforced by
1797.                      the TCB; as well as to assure that no subject (without
1798.                      authorization to do so) is able to cause the TCB to enter
1799.                      a state such that it is unable to respond to 
1800.                      communications initiated by other users.  The TCB shall
1801.                      be found resistant to penetration.  All discovered flaws
1802.                      shall be corrected and the TCB retested to demonstrate 
1803.                      that they have been eliminated and that new flaws have
1804.                      not been introduced.  Testing shall demonstrate that the
1805.                      TCB implementation is consistent with the descriptive
1806.                      top-level specification.  (See the Security Testing 
1807.                      Guidelines.)  No design flaws and no more than a few
1808.                      correctable implementation flaws may be found during 
1809.                      testing and there shall be reasonable confidence that
1810.                      few remain.
1811.  
1812.           3.3.3.2.2  Design Specification and Verification
1813.  
1814.                      A formal model of the security policy supported by the
1815.                      TCB shall be maintained over the life cycle of the ADP
1816.                      system that is proven consistent with its axioms.  A
1817.                      descriptive top-level specification (DTLS) of the TCB
1818.                      shall be maintained that completely and accurately
1819.                      describes the TCB in terms of exceptions, error messages,
1820.                      and effects.  It shall be shown to be an accurate
1821.                      description of the TCB interface.  A convincing argument
1822.                      shall be given that the DTLS is consistent with the model.
1823.  
1824.           3.3.3.2.3  Configuration Management
1825.  
1826.                      During development and maintenance of the TCB, a
1827.                      configuration management system shall be in place that 
1828.                      maintains control of changes to the descriptive top-level
1829.                      specification, other design data, implementation
1830.                      documentation, source code, the running version of the
1831.                      object code, and test fixtures and documentation.  The
1832.                      configuration management system shall assure a consistent
1833.                      mapping among all documentation and code associated with
1834.                      the current version of the TCB.  Tools shall be provided
1835.                      for generation of a new version of the TCB from source 
1836.                      code.  Also available shall be tools for comparing a
1837.                      newly generated version with the previous TCB version in
1838.                      order to ascertain that only the intended changes have 
1839.                      been made in the code that will actually be used as the
1840.                      new version of the TCB.
1841.  
1842. 3.3.4  Documentation
1843.  
1844.      3.3.4.1   Security Features User's Guide
1845.  
1846.                A single summary, chapter, or manual in user documentation
1847.                shall describe the protection mechanisms provided by the TCB,
1848.                guidelines on their use, and how they interact with one another.
1849.  
1850.      3.3.4.2   Trusted Facility Manual
1851.  
1852.                A manual addressed to the ADP system administrator shall
1853.                present cautions about functions and privileges that should be
1854.                controlled when running a secure facility.  The procedures for
1855.                examining and maintaining the audit files as well as the
1856.                detailed audit record structure for each type of audit event
1857.                shall be given.  The manual shall describe the operator and
1858.                administrator functions related to security, to include 
1859.                changing the security characteristics of a user.  It shall
1860.                provide guidelines on the consistent and effective use of the
1861.                protection features of the system, how they interact, how to
1862.                securely generate a new TCB, and facility procedures, warnings,
1863.                and privileges that need to be controlled in order to operate
1864.                the facility in a secure manner.  The TCB modules that contain
1865.                the reference validation mechanism shall be identified.  The
1866.                procedures for secure generation of a new TCB from source after
1867.                modification of any modules in the TCB shall be described.  It
1868.                shall include the procedures to ensure that the system is
1869.                initially started in a secure manner.  Procedures shall also be
1870.                included to resume secure system operation after any lapse in
1871.                system operation.
1872.  
1873.      3.3.4.3   Test Documentation
1874.  
1875.                The system developer shall provide to the evaluators a document
1876.                that describes the test plan, test procedures that show how the
1877.                security mechanisms were tested, and results of the security 
1878.                mechanisms' functional testing.  It shall include results of
1879.                testing the effectiveness of the methods used to reduce covert
1880.                channel bandwidths.
1881.  
1882.      3.3.4.4   Design Documentation
1883.  
1884.                Documentation shall be available that provides a description of
1885.                the manufacturer's philosophy of protection and an explanation
1886.                of how this philosophy is translated into the TCB.  The
1887.                interfaces between the TCB modules shall be described.  A
1888.                formal description of the security policy model enforced by the
1889.                TCB shall be available and proven that it is sufficient to
1890.                enforce the security policy.  The specific TCB protection 
1891.                mechanisms shall be identified and an explanation given to show
1892.                that they satisfy the model.  The descriptive top-level
1893.                specification (DTLS) shall be shown to be an accurate 
1894.                description of the TCB interface.  Documentation shall describe
1895.                how the TCB implements the reference monitor concept and give 
1896.                an explanation why it is tamper resistant, cannot be bypassed,
1897.                and is correctly implemented.  The TCB implementation (i.e., in
1898.                hardware, firmware, and software) shall be informally shown to
1899.                be consistent with the DTLS.  The elements of the DTLS shall be
1900.                shown, using informal techniques, to correspond to the elements
1901.                of the TCB.  Documentation shall describe how the TCB is
1902.                structured to facilitate testing and to enforce least privilege.
1903.                This documentation shall also present the results of the covert
1904.                channel analysis and the tradeoffs involved in restricting the
1905.                channels.  All auditable events that may be used in the 
1906.                exploitation of known covert storage channels shall be 
1907.                identified.  The bandwidths of known covert storage channels,
1908.                the use of which is not detectable by the auditing mechanisms,
1909.                shall be provided.  (See the Covert Channel Guideline section.)
1910.  
1911.  
1912.                      4.0  DIVISION A:  VERIFIED PROTECTION
1913.  
1914. This division is characterized by the use of formal security verification
1915. methods to assure that the mandatory and discretionary security controls
1916. employed in the system can effectively protect classified or other sensitive
1917. information stored or processed by the system.  Extensive documentation is
1918. required to demonstrate that the TCB meets the security requirements in all
1919. aspects of design, development and implementation.
1920.  
1921.  
1922.  
1923. 4.1  CLASS (A1):  VERIFIED DESIGN
1924.  
1925. Systems in class (A1) are functionally equivalent to those in class (B3) in
1926. that no additional architectural features or policy requirements are added.
1927. The distinguishing feature of systems in this class is the analysis derived
1928. from formal design specification and verification techniques and the resulting
1929. high degree of assurance that the TCB is correctly implemented.  This
1930. assurance is developmental in nature, starting with a formal model of the
1931. security policy and a formal top-level specification (FTLS) of the design.
1932. Independent of the particular specification language or verification system
1933. used, there are five important criteria for class (A1) design verification:
1934.  
1935.           * A formal model of the security policy must be clearly
1936.           identified and documented, including a mathematical proof
1937.           that the model is consistent with its axioms and is
1938.           sufficient to support the security policy.
1939.  
1940.           * An FTLS must be produced that includes abstract definitions
1941.           of the functions the TCB performs and of the hardware and/or
1942.           firmware mechanisms that are used to support separate
1943.           execution domains.
1944.  
1945.           * The FTLS of the TCB must be shown to be consistent with the
1946.           model by formal techniques where possible (i.e., where
1947.           verification tools exist) and informal ones otherwise.
1948.  
1949.           * The TCB implementation (i.e., in hardware, firmware, and
1950.           software) must be informally shown to be consistent with the
1951.           FTLS.  The elements of the FTLS must be shown, using
1952.           informal techniques, to correspond to the elements of the
1953.           TCB.  The FTLS must express the unified protection mechanism
1954.           required to satisfy the security policy, and it is the
1955.           elements of this protection mechanism that are mapped to the
1956.           elements of the TCB.
1957.  
1958.           * Formal analysis techniques must be used to identify and
1959.           analyze covert channels.  Informal techniques may be used to
1960.           identify covert timing channels.  The continued existence of
1961.           identified covert channels in the system must be justified.
1962.  
1963. In keeping with the extensive design and development analysis of the TCB
1964. required of systems in class (A1), more stringent configuration management is
1965. required and procedures are established for securely distributing the system
1966. to sites.  A system security administrator is supported.
1967.  
1968. The following are minimal requirements for systems assigned a class (A1)
1969. rating:
1970.  
1971. 4.1.1  Security Policy
1972.  
1973.      4.1.1.1   Discretionary Access Control
1974.  
1975.                The TCB shall define and control access between named users and
1976.                named objects (e.g., files and programs) in the ADP system.  
1977.                The enforcement mechanism (e.g., access control lists) shall 
1978.                allow users to specify and control sharing of those objects,
1979.                and shall provide controls to limit propagation of access
1980.                rights.  The discretionary access control mechanism shall,
1981.                either by explicit user action or by default, provide that
1982.                objects are protected from unauthorized access.  These access
1983.                controls shall be capable of specifying, for each named object,
1984.                a list of named individuals and a list of groups of named
1985.                individuals with their respective modes of access to that
1986.                object.  Furthermore, for each such named object, it shall be
1987.                possible to specify a list of named individuals and a list of
1988.                groups of named individuals for which no access to the object is
1989.                to be given.  Access permission to an object by users not
1990.                already possessing access permission shall only be assigned by
1991.                authorized users.
1992.  
1993.      4.1.1.2   Object Reuse
1994.  
1995.                All authorizations to the information contained within a
1996.                storage object shall be revoked prior to initial assignment,
1997.                allocation or reallocation to a subject from the TCB's pool
1998.                of unused storage objects.  No information, including encrypted
1999.                representations of information, produced by a prior subject's
2000.                actions is to be available to any subject that obtains access
2001.                to an object that has been released back to the system.
2002.  
2003.      4.1.1.3   Labels
2004.  
2005.                Sensitivity labels associated with each ADP system resource
2006.                (e.g., subject, storage object, ROM) that is directly or
2007.                indirectly accessible by subjects external to the TCB shall be
2008.                maintained by the TCB.  These labels shall be used as the basis
2009.                for mandatory access control decisions.  In order to import 
2010.                non-labeled data, the TCB shall request and receive from an 
2011.                authorized user the security level of the data, and all such
2012.                actions shall be auditable by the TCB.
2013.  
2014.           4.1.1.3.1  Label Integrity
2015.  
2016.                      Sensitivity labels shall accurately represent security
2017.                      levels of the specific subjects or objects with which 
2018.                      they are associated.  When exported by the TCB,
2019.                      sensitivity labels shall accurately and unambiguously
2020.                      represent the internal labels and shall be associated 
2021.                      with the information being exported.
2022.  
2023.           4.1.1.3.2  Exportation of Labeled Information
2024.  
2025.                      The TCB shall designate each communication channel and
2026.                      I/O device as either single-level or multilevel.  Any 
2027.                      change in this designation shall be done manually and
2028.                      shall be auditable by the TCB.  The TCB shall maintain
2029.                      and be able to audit any change in the security level
2030.                      or levels associated with a communication channel or 
2031.                      I/O device.
2032.  
2033.                4.1.1.3.2.1  Exportation to Multilevel Devices
2034.  
2035.                             When the TCB exports an object to a multilevel I/O
2036.                             device, the sensitivity label associated with that
2037.                             object shall also be exported and shall reside on
2038.                             the same physical medium as the exported 
2039.                             information and shall be in the same form (i.e., 
2040.                             machine-readable or human-readable form).  When
2041.                             the TCB exports or imports an object over a
2042.                             multilevel communication channel, the protocol 
2043.                             used on that channel shall provide for the
2044.                             unambiguous pairing between the sensitivity labels
2045.                             and the associated information that is sent or 
2046.                             received.
2047.  
2048.                4.1.1.3.2.2  Exportation to Single-Level Devices
2049.  
2050.                             Single-level I/O devices and single-level
2051.                             communication channels are not required to 
2052.                             maintain the sensitivity labels of the information
2053.                             they process.  However, the TCB shall include a 
2054.                             mechanism by which the TCB and an authorized user
2055.                             reliably communicate to designate the single
2056.                             security level of information imported or exported
2057.                             via single-level communication channels or I/O 
2058.                             devices.
2059.  
2060.                4.1.1.3.2.3  Labeling Human-Readable Output
2061.  
2062.                             The ADP system administrator shall be able to
2063.                             specify the printable label names associated with
2064.                             exported sensitivity labels.  The TCB shall mark
2065.                             the beginning and end of all human-readable, paged,
2066.                             hardcopy output (e.g., line printer output) with 
2067.                             human-readable sensitivity labels that properly*
2068.                             represent the sensitivity of the output.  The TCB
2069.                             shall, by default, mark the top and bottom of each
2070.                             page of human-readable, paged, hardcopy output
2071.                             (e.g., line printer output) with human-readable 
2072.                             sensitivity labels that properly* represent the
2073.                             overall sensitivity of the output or that 
2074.                             properly* represent the sensitivity of the 
2075.                             information on the page.  The TCB shall, by
2076.                             default and in an appropriate manner, mark other
2077.                             forms of human-readable output (e.g., maps,
2078.                             graphics) with human-readable sensitivity labels
2079.                             that properly* represent the sensitivity of the 
2080.                             output.  Any override of these marking defaults
2081.                             shall be auditable by the TCB.
2082.  
2083.           4.1.1.3.3  Subject Sensitivity Labels
2084.  
2085.                      The TCB shall immediately notify a terminal user of each
2086.                      change in the security level associated with that user 
2087.                      during an interactive session.  A terminal user shall be
2088.                      able to query the TCB as desired for a display of the
2089.                      subject's complete sensitivity label.
2090.  
2091.           4.1.1.3.4  Device Labels
2092.  
2093.                      The TCB shall support the assignment of minimum and
2094.                      maximum security levels to all attached physical devices.
2095.                      These security levels shall be used by the TCB to enforce
2096.                      constraints imposed by the physical environments in which
2097.                      the devices are located.
2098.  
2099.      4.1.1.4   Mandatory Access Control
2100.  
2101.                The TCB shall enforce a mandatory access control policy over
2102.                all resources (i.e., subjects, storage objects, and I/O 
2103.                devices) that are directly or indirectly accessible by subjects
2104.                external to the TCB.  These subjects and objects shall be
2105.                assigned sensitivity labels that are a combination of
2106.                hierarchical classification levels and non-hierarchical
2107.                categories, and the labels shall be used as the basis for 
2108.                mandatory access control decisions.  The TCB shall be able to
2109.                support two or more such security levels.  (See the Mandatory
2110.                Access Control guidelines.) The following requirements shall
2111.                hold for all accesses between all subjects external to the TCB
2112.                and all objects directly or indirectly accessible by these 
2113.                subjects: A subject can read an object only if the hierarchical
2114.                classification in the subject's security level is greater than
2115.                or equal to the hierarchical classification in the object's
2116.                security level and the non-hierarchical categories in the
2117.                subject's security level include all the non-hierarchical
2118.                categories in the object's security level.  A subject can write
2119. ______________________________
2120. * The hierarchical classification component in human-readable sensitivity
2121. labels shall be equal to the greatest hierarchical classification of any of the
2122. information in the output that the labels refer to; the non-hierarchical
2123. category component shall include all of the non-hierarchical categories of the
2124. information in the output the labels refer to, but no other non-hierarchical
2125. categories.
2126.  
2127.                an object only if the hierarchical classification in the 
2128.                subject's security level is less than or equal to the
2129.                hierarchical classification in the object's security level and
2130.                all the non-hierarchical categories in the subject's security 
2131.                level are included in the non- hierarchical categories in the 
2132.                object's security level.  Identification and authentication 
2133.                data shall be used by the TCB to authenticate the user's
2134.                identity and to ensure that the security level and authoriza-
2135.                tion of subjects external to the TCB that may be created to
2136.                act on behalf of the individual user are dominated by the
2137.                clearance and authorization of that user.
2138.  
2139. 4.1.2  Accountability
2140.  
2141.      4.1.2.1   Identification and Authentication
2142.  
2143.                The TCB shall require users to identify themselves to it before
2144.                beginning to perform any other actions that the TCB is expected
2145.                to mediate.  Furthermore, the TCB shall maintain authentication
2146.                data that includes information for verifying the identity of
2147.                individual users (e.g., passwords) as well as information for
2148.                determining the clearance and authorizations of individual
2149.                users.  This data shall be used by the TCB to authenticate the
2150.                user's identity and to ensure that the security level and 
2151.                authorizations of subjects external to the TCB that may be
2152.                created to act on behalf of the individual user are dominated by
2153.                the clearance and authorization of that user.  The TCB shall
2154.                protect authentication data so that it cannot be accessed by any
2155.                unauthorized user.  The TCB shall be able to enforce individual
2156.                accountability by providing the capability to uniquely identify
2157.                each individual ADP system user.  The TCB shall also provide the
2158.                capability of associating this identity with all auditable
2159.                actions taken by that individual.
2160.  
2161.           4.1.2.1.1  Trusted Path
2162.  
2163.                      The TCB shall support a trusted communication path
2164.                      between itself and users for use when a positive TCB-to-
2165.                      user connection is required (e.g., login, change subject
2166.                      security level).  Communications via this trusted path
2167.                      shall be activated exclusively by a user or the TCB and
2168.                      shall be logically isolated and unmistakably 
2169.                      distinguishable from other paths.
2170.  
2171.      4.1.2.2   Audit
2172.  
2173.                The TCB shall be able to create, maintain, and protect from
2174.                modification or unauthorized access or destruction an audit 
2175.                trail of accesses to the objects it protects.  The audit data
2176.                shall be protected by the TCB so that read access to it is
2177.                limited to those who are authorized for audit data.  The TCB
2178.                shall be able to record the following types of events: use of
2179.                identification and authentication mechanisms, introduction of
2180.                objects into a user's address space (e.g., file open, program
2181.                initiation), deletion of objects, and actions taken by computer
2182.                operators and system administrators and/or system security
2183.                officers, and other security relevant events.  The TCB shall
2184.                also be able to audit any override of human-readable output
2185.                markings.  For each recorded event, the audit record shall
2186.                identify: date and time of the event, user, type of event, and
2187.                success or failure of the event.  For identification/
2188.                authentication events the origin of request (e.g., terminal ID)
2189.                shall be included in the audit record.  For events that
2190.                introduce an object into a user's address space and for object
2191.                deletion events the audit record shall include the name of the
2192.                object and the object's security level.  The ADP system
2193.                administrator shall be able to selectively audit the actions of
2194.                any one or more users based on individual identity and/or object
2195.                security level.  The TCB shall be able to audit the identified
2196.                events that may be used in the exploitation of covert storage
2197.                channels.  The TCB shall contain a mechanism that is able to
2198.                monitor the occurrence or accumulation of security auditable
2199.                events that may indicate an imminent violation of security
2200.                policy.  This mechanism shall be able to immediately notify the
2201.                security administrator when thresholds are exceeded, and, if
2202.                the occurrence or accumulation of these security relevant
2203.                events continues, the system shall take the least disruptive
2204.                action to terminate the event.
2205.      
2206. 4.1.3  Assurance
2207.  
2208.      4.1.3.1   Operational Assurance
2209.  
2210.           4.1.3.1.1  System Architecture
2211.      
2212.                      The TCB shall maintain a domain for its own execution
2213.                      that protects it from external interference or tampering
2214.                      (e.g., by modification of its code or data structures).
2215.                      The TCB shall maintain process isolation through the
2216.                      provision of distinct address spaces under its control.
2217.                      The TCB shall be internally structured into well-defined
2218.                      largely independent modules.  It shall make effective use
2219.                      of available hardware to separate those elements that are
2220.                      protection-critical from those that are not.  The TCB
2221.                      modules shall be designed such that the principle of 
2222.                      least privilege is enforced.  Features in hardware, such
2223.                      as segmentation, shall be used to support logically 
2224.                      distinct storage objects with separate attributes (namely:
2225.                      readable, writeable).  The user interface to the TCB 
2226.                      shall be completely defined and all elements of the TCB 
2227.                      identified.  The TCB shall be designed and structured to
2228.                      use a complete, conceptually simple protection mechanism
2229.                      with precisely defined semantics.  This mechanism shall 
2230.                      play a central role in enforcing the internal structuring
2231.                      of the TCB and the system.  The TCB shall incorporate
2232.                      significant use of layering, abstraction and data hiding.
2233.                      Significant system engineering shall be directed toward 
2234.                      minimizing the complexity of the TCB and excluding from
2235.                      the TCB modules that are not protection-critical.
2236.  
2237.           4.1.3.1.2  System Integrity
2238.  
2239.                      Hardware and/or software features shall be provided that
2240.                      can be used to periodically validate the correct 
2241.                      operation of the on-site hardware and firmware elements
2242.                      of the TCB.
2243.  
2244.           4.1.3.1.3  Covert Channel Analysis
2245.  
2246.                      The system developer shall conduct a thorough search for
2247.                      covert channels and make a determination (either by 
2248.                      actual measurement or by engineering estimation) of the
2249.                      maximum bandwidth of each identified channel.  (See the
2250.                      Covert Channels Guideline section.)  Formal methods shall
2251.                      be used in the analysis.
2252.  
2253.           4.1.3.1.4  Trusted Facility Management
2254.  
2255.                      The TCB shall support separate operator and administrator
2256.                      functions.  The functions performed in the role of a 
2257.                      security administrator shall be identified.  The ADP
2258.                      system administrative personnel shall only be able to
2259.                      perform security administrator functions after taking a 
2260.                      distinct auditable action to assume the security
2261.                      administrator role on the ADP system.  Non-security
2262.                      functions that can be performed in the security 
2263.                      administration role shall be limited strictly to those
2264.                      essential to performing the security role effectively.
2265.  
2266.           4.1.3.1.5  Trusted Recovery
2267.  
2268.                      Procedures and/or mechanisms shall be provided to assure
2269.                      that, after an ADP system failure or other discontinuity,
2270.                      recovery without a protection compromise is obtained.
2271.  
2272.      4.1.3.2   Life-Cycle Assurance
2273.  
2274.           4.1.3.2.1  Security Testing
2275.  
2276.                      The security mechanisms of the ADP system shall be tested
2277.                      and found to work as claimed in the system documentation.
2278.                      A team of individuals who thoroughly understand the
2279.                      specific implementation of the TCB shall subject its
2280.                      design documentation, source code, and object code to
2281.                      thorough analysis and testing.  Their objectives shall 
2282.                      be: to uncover all design and implementation flaws that
2283.                      would permit a subject external to the TCB to read,
2284.                      change, or delete data normally denied under the 
2285.                      mandatory or discretionary security policy enforced by 
2286.                      the TCB; as well as to assure that no subject (without
2287.                      authorization to do so) is able to cause the TCB to enter
2288.                      a state such that it is unable to respond to 
2289.                      communications initiated by other users.  The TCB shall 
2290.                      be found resistant to penetration.  All discovered flaws
2291.                      shall be corrected and the TCB retested to demonstrate 
2292.                      that they have been eliminated and that new flaws have
2293.                      not been introduced.  Testing shall demonstrate that the
2294.                      TCB implementation is consistent with the formal top-
2295.                      level specification.  (See the Security Testing 
2296.                      Guidelines.)  No design flaws and no more than a few
2297.                      correctable implementation flaws may be found during
2298.                      testing and there shall be reasonable confidence that few
2299.                      remain.  Manual or other mapping of the FTLS to the
2300.                      source code may form a basis for penetration testing.
2301.  
2302.           4.1.3.2.2  Design Specification and Verification
2303.  
2304.                      A formal model of the security policy supported by the
2305.                      TCB shall be maintained over the life-cycle of the ADP
2306.                      system that is proven consistent with its axioms.  A
2307.                      descriptive top-level specification (DTLS) of the TCB
2308.                      shall be maintained that completely and accurately
2309.                      describes the TCB in terms of exceptions, error messages,
2310.                      and effects. A formal top-level specification (FTLS) of
2311.                      the TCB shall be maintained that accurately describes the
2312.                      TCB in terms of exceptions, error messages, and effects. 
2313.                      The DTLS and FTLS shall include those components of the
2314.                      TCB that are implemented as hardware and/or firmware if
2315.                      their properties are visible at the TCB interface.  The
2316.                      FTLS shall be shown to be an accurate description of the
2317.                      TCB interface.  A convincing argument shall be given that
2318.                      the DTLS is consistent with the model and a combination of
2319.                      formal and informal techniques shall be used to show that
2320.                      the FTLS is consistent with the model.  This verification
2321.                      evidence shall be consistent with that provided within the
2322.                      state-of-the-art of the particular computer security
2323.                      center-endorsed formal specification and verification
2324.                      system used.  Manual or other mapping of the FTLS to the
2325.                      TCB source code shall be performed to provide evidence of
2326.                      correct implementation.
2327.  
2328.           4.1.3.2.3  Configuration Management
2329.  
2330.                      During the entire life-cycle, i.e., during the design,
2331.                      development, and maintenance of the TCB, a configuration
2332.                      management system shall be in place for all security-
2333.                      relevant hardware, firmware, and software that maintains
2334.                      control of changes to the formal model, the descriptive 
2335.                      and formal top-level specifications, other design data, 
2336.                      implementation documentation, source code, the running
2337.                      version of the object code, and test fixtures and
2338.                      documentation.  The configuration management system shall
2339.                      assure a consistent mapping among all documentation and 
2340.                      code associated with the current version of the TCB.
2341.                      Tools shall be provided for generation of a new version
2342.                      of the TCB from source code.  Also available shall be 
2343.                      tools, maintained under strict configuration control, for
2344.                      comparing a newly generated version with the previous TCB
2345.                      version in order to ascertain that only the intended
2346.                      changes have been made in the code that will actually be
2347.                      used as the new version of the TCB.  A combination of
2348.                      technical, physical, and procedural safeguards shall be
2349.                      used to protect from unauthorized modification or
2350.                      destruction the master copy or copies of all material
2351.                      used to generate the TCB.
2352.  
2353.           4.1.3.2.4  Trusted Distribution
2354.  
2355.                      A trusted ADP system control and distribution facility
2356.                      shall be provided for maintaining the integrity of the
2357.                      mapping between the master data describing the current
2358.                      version of the TCB and the on-site master copy of the
2359.                      code for the current version.  Procedures (e.g., site
2360.                      security acceptance testing) shall exist for assuring 
2361.                      that the TCb software, firmware, and hardware updates
2362.                      distributed to a customer are exactly as specified by
2363.                      the master copies.
2364.  
2365. 4.1.4  Documentation
2366.  
2367.      4.1.4.1   Security Features User's Guide
2368.  
2369.                A single summary, chapter, or manual in user documentation
2370.                shall describe the protection mechanisms provided by the TCB,
2371.                guidelines on their use, and how they interact with one another.
2372.  
2373.      4.1.4.2   Trusted Facility Manual
2374.  
2375.                A manual addressed to the ADP system administrator shall
2376.                present cautions about functions and privileges that should be
2377.                controlled when running a secure facility.  The procedures for
2378.                examining and maintaining the audit files as well as the
2379.                detailed audit record structure for each type of audit event
2380.                shall be given.  The manual shall describe the operator and
2381.                administrator functions related to security, to include 
2382.                changing the security characteristics of a user.  It shall
2383.                provide guidelines on the consistent and effective use of the
2384.                protection features of the system, how they interact, how to
2385.                securely generate a new TCB, and facility procedures, warnings,
2386.                and privileges that need to be controlled in order to operate
2387.                the facility in a secure manner.  The TCB modules that contain
2388.                the reference validation mechanism shall be identified.  The 
2389.                procedures for secure generation of a new TCB from source after
2390.                modification of any modules in the TCB shall be described.  It
2391.                shall include the procedures to ensure that the system is 
2392.                initially started in a secure manner.  Procedures shall also be
2393.                included to resume secure system operation after any lapse in 
2394.                system operation.  
2395.  
2396.      4.1.4.3   Test Documentation
2397.  
2398.                The system developer shall provide to the evaluators a document
2399.                that describes the test plan, test procedures that show how the
2400.                security mechanisms were tested, and results of the security
2401.                mechanisms' functional testing.  It shall include results of 
2402.                testing the effectiveness of the methods used to reduce covert
2403.                channel bandwidths.  The results of the mapping between the
2404.                formal top-level specification and the TCB source code shall be
2405.                given.
2406.  
2407.      4.1.4.4   Design Documentation
2408.  
2409.                Documentation shall be available that provides a description of
2410.                the manufacturer's philosophy of protection and an explanation
2411.                of how this philosophy is translated into the TCB.  The 
2412.                interfaces between the TCB modules shall be described.  A
2413.                formal description of the security policy model enforced by the
2414.                TCB shall be available and proven that it is sufficient to 
2415.                enforce the security policy.  The specific TCB protection 
2416.                mechanisms shall be identified and an explanation given to show
2417.                that they satisfy the model.  The descriptive top-level speci-
2418.                fication (DTLS) shall be shown to be an accurate description of
2419.                the TCB interface.  Documentation shall describe how the TCB
2420.                implements the reference monitor concept and give an explana-
2421.                tion why it is tamper resistant, cannot be bypassed, and
2422.                is correctly implemented.  The TCB implementation (i.e., in
2423.                hardware, firmware, and software) shall be informally shown to
2424.                be consistent with the formal top-level specification (FTLS).
2425.                The elements of the FTLS shall be shown, using informal 
2426.                techniques, to correspond to the elements of the TCB.  
2427.                Documentation shall describe how the TCB is structured to
2428.                facilitate testing and to enforce least privilege.  This
2429.                documentation shall also present the results of the covert 
2430.                channel analysis and the tradeoffs involved in restricting the
2431.                channels.  All auditable events that may be used in the
2432.                exploitation of known covert storage channels shall be 
2433.                identified.  The bandwidths of known covert storage channels,
2434.                the use of which is not detectable by the auditing mechanisms,
2435.                shall be provided.  (See the Covert Channel Guideline section.)
2436.                Hardware, firmware, and software mechanisms not dealt with in
2437.                the FTLS but strictly internal to the TCB (e.g., mapping
2438.                registers, direct memory access I/O) shall be clearly described.
2439.  
2440.  
2441. 4.2  BEYOND CLASS (A1)
2442.  
2443. Most of the security enhancements envisioned for systems that will provide
2444. features and assurance in addition to that already provided by class (Al)
2445. systems are beyond current technology.  The discussion below is intended to
2446. guide future work and is derived from research and development activities
2447. already underway in both the public and private sectors.  As more and better
2448. analysis techniques are developed, the requirements for these systems will
2449. become more explicit.  In the future, use of formal verification will be
2450. extended to the source level and covert timing channels will be more fully
2451. addressed.  At this level the design environment will become important and
2452. testing will be aided by analysis of the formal top-level specification.
2453. Consideration will be given to the correctness of the tools used in TCB
2454. development (e.g., compilers, assemblers, loaders) and to the correct
2455. functioning of the hardware/firmware on which the TCB will run.  Areas to be
2456. addressed by systems beyond class (A1) include:
2457.  
2458.            * System Architecture
2459.  
2460.            A demonstration (formal or otherwise) must be given showing
2461.            that requirements of self-protection and completeness for
2462.            reference monitors have been implemented in the TCB.
2463.  
2464.            * Security Testing
2465.  
2466.            Although beyond the current state-of-the-art, it is
2467.            envisioned that some test-case generation will be done
2468.            automatically from the formal top-level specification or
2469.            formal lower-level specifications.
2470.  
2471.            * Formal Specification and Verification
2472.  
2473.            The TCB must be verified down to the source code level,
2474.            using formal verification methods where feasible.  Formal
2475.            verification of the source code of the security-relevant
2476.            portions of an operating system has proven to be a difficult
2477.            task.  Two important considerations are the choice of a
2478.            high-level language whose semantics can be fully and
2479.            formally expressed, and a careful mapping, through
2480.            successive stages, of the abstract formal design to a
2481.            formalization of the implementation in low-level
2482.            specifications.    Experience has shown that only when the
2483.            lowest level specifications closely correspond to the actual
2484.            code can code proofs be successfully accomplished.
2485.  
2486.            * Trusted Design Environment
2487.  
2488.            The TCB must be designed in a trusted facility with only
2489.            trusted (cleared) personnel.
2490.  
2491.  
2492.  
2493.  
2494.  
2495.                                    PART II:
2496.  
2497.                            RATIONALE AND GUIDELINES
2498.  
2499.  
2500.  
2501.              5.0  CONTROL OBJECTIVES FOR TRUSTED COMPUTER SYSTEMS
2502.  
2503. The criteria are divided within each class into groups of requirements.  These
2504. groupings were developed to assure that three basic control objectives for
2505. computer security are satisfied and not overlooked.  These control objectives
2506. deal with:
2507.  
2508.                       * Security Policy
2509.                       * Accountability
2510.                       * Assurance
2511.  
2512. This section provides a discussion of these general control objectives and
2513. their implication in terms of designing trusted systems.
2514.  
2515.  
2516. 5.1  A NEED FOR CONSENSUS
2517.  
2518. A major goal of the DoD Computer Security Center is to encourage the Computer
2519. Industry to develop trusted computer systems and products, making them widely
2520. available in the commercial market place.  Achievement of this goal will
2521. require recognition and articulation by both the public and private sectors of
2522. a need and demand for such products.
2523.  
2524. As described in the introduction to this document, efforts to define the
2525. problems and develop solutions associated with processing nationally sensitive
2526. information, as well as other sensitive data such as financial, medical, and
2527. personnel information used by the National Security Establishment, have been
2528. underway for a number of years.  The criteria, as described in Part I,
2529. represent the culmination of these efforts and describe basic requirements for
2530. building trusted computer systems.  To date, however, these systems have been
2531. viewed by many as only satisfying National Security needs.  As long as this
2532. perception continues the consensus needed to motivate manufacture of trusted
2533. systems will be lacking.
2534.  
2535. The purpose of this section is to describe in detail the fundamental control
2536. objectives.  These objectives lay the foundation for the requirements outlined
2537. in the criteria.  The goal is to explain the foundations so that those outside
2538. the National Security Establishment can assess their universality and, by
2539. extension, the universal applicability of the criteria requirements to
2540. processing all types of sensitive applications whether they be for National
2541. Security or the private sector.
2542.  
2543.  
2544. 5.2  DEFINITION AND USEFULNESS
2545.  
2546. The term "control objective" refers to a statement of intent with respect to
2547. control over some aspect of an organization's resources, or processes, or
2548. both.  In terms of a computer system, control objectives provide a framework
2549. for developing a strategy for fulfilling a set of security requirements for
2550. any given system.  Developed in response to generic vulnerabilities, such as
2551. the need to manage and handle sensitive data in order to prevent compromise,
2552. or the need to provide accountability in order to detect fraud, control
2553. objectives have been identified as a useful method of expressing security
2554. goals.[3]
2555.  
2556. Examples of control objectives include the three basic design requirements for
2557. implementing the reference monitor concept discussed in Section 6.  They are:
2558.  
2559.      * The reference validation mechanism must be tamperproof.
2560.  
2561.      * The reference validation mechanism must always be invoked.
2562.  
2563.      * The reference validation mechanism must be small enough to be
2564.        subjected to analysis and tests, the completeness of which can 
2565.        be assured.[1]
2566.  
2567.  
2568. 5.3  CRITERIA CONTROL OBJECTIVES
2569.  
2570. The three basic control objectives of the criteria are concerned with security
2571. policy, accountability, and assurance.  The remainder of this section provides
2572. a discussion of these basic requirements.
2573.  
2574. 5.3.1  Security Policy
2575.  
2576.        In the most general sense, computer security is concerned with
2577.        controlling the way in which a computer can be used, i.e., 
2578.        controlling how information processed by it can be accessed and 
2579.        manipulated.  However, at closer examination, computer security 
2580.        can refer to a number of areas.  Symptomatic of this, FIPS PUB 39,
2581.        Glossary For Computer Systems Security, does not have a unique
2582.        definition for computer security.[16]  Instead there are eleven
2583.        separate definitions for security which include: ADP systems 
2584.        security, administrative security, data security, etc.  A common 
2585.        thread running through these definitions is the word "protection."
2586.        Further declarations of protection requirements can be found in
2587.        DoD Directive 5200.28 which describes an acceptable level of
2588.        protection for classified data to be one that will "assure that
2589.        systems which process, store, or use classified data and produce
2590.        classified information will, with reasonable dependability, 
2591.        prevent: a. Deliberate or inadvertent access to classified 
2592.        material by unauthorized persons, and b.  Unauthorized 
2593.        manipulation of the computer and its associated peripheral 
2594.        devices."[8]
2595.  
2596.        In summary, protection requirements must be defined in terms of
2597.        the perceived threats, risks, and goals of an organization.  This
2598.        is often stated in terms of a security policy.  It has been 
2599.        pointed out in the literature that it is external laws, rules, 
2600.        regulations, etc.  that establish what access to information is to
2601.        be permitted, independent of the use of a computer.  In particular,
2602.        a given system can only be said to be secure with respect to its
2603.        enforcement of some specific policy.[30]  Thus, the control 
2604.        objective for security policy is:
2605.  
2606.        SECURITY POLICY CONTROL OBJECTIVE
2607.  
2608.        A statement of intent with regard to control over access to and
2609.        dissemination of information, to be known as the security policy
2610.        must be precisely defined and implemented for each system that is
2611.        used to process sensitive information.  The security policy must
2612.        accurately reflect the laws, regulations, and general policies
2613.        from which it is derived.
2614.  
2615.      5.3.1.1   Mandatory Security Policy
2616.                
2617.                Where a security policy is developed that is to be applied
2618.                to control of classified or other specifically designated 
2619.                sensitive information, the policy must include detailed 
2620.                rules on how to handle that information throughout its
2621.                life-cycle.  These rules are a function of the various
2622.                sensitivity designations that the information can assume 
2623.                and the various forms of access supported by the system.
2624.                Mandatory security refers to the enforcement of a set of
2625.                access control rules that constrains a subject's access to
2626.                information on the basis of a comparison of that 
2627.                individual's clearance/authorization to the information,
2628.                the classification/sensitivity designation of the
2629.                information, and the form of access being mediated.
2630.                Mandatory policies either require or can be satisfied by 
2631.                systems that can enforce a partial ordering of 
2632.                designations, namely, the designations must form what is
2633.                mathematically known as a "lattice."[5]
2634.  
2635.                A clear implication of the above is that the system must
2636.                assure that the designations associated with sensitive data
2637.                cannot be arbitrarily changed, since this could permit 
2638.                individuals who lack the appropriate authorization to 
2639.                access sensitive information.  Also implied is the
2640.                requirement that the system control the flow of information
2641.                so that data cannot be stored with lower sensitivity 
2642.                designations unless its "downgrading" has been authorized.
2643.                The control objective is:
2644.  
2645.                MANDATORY SECURITY CONTROL OBJECTIVE
2646.  
2647.                Security policies defined for systems that are used to
2648.                process classified or other specifically categorized
2649.                sensitive information must include provisions for the 
2650.                enforcement of mandatory access control rules.  That is,
2651.                they must include a set of rules for controlling access
2652.                based directly on a comparison of the individual's
2653.                clearance or authorization for the information and the
2654.                classification or sensitivity designation of the
2655.                information being sought, and indirectly on considerations
2656.                of physical and other environmental factors of control.
2657.                The mandatory access control rules must accurately reflect
2658.                the laws, regulations, and general policies from which
2659.                they are derived.
2660.  
2661.      5.3.1.2   Discretionary Security Policy
2662.  
2663.                Discretionary security is the principal type of access
2664.                control available in computer systems today.  The basis of
2665.                this kind of security is that an individual user, or
2666.                program operating on his behalf, is allowed to specify
2667.                explicitly the types of access other users may have to
2668.                information under his control.  Discretionary security
2669.                differs from mandatory security in that it implements an
2670.                access control policy on the basis of an individual's
2671.                need-to-know as opposed to mandatory controls which are
2672.                driven by the classification or sensitivity designation of
2673.                the information.
2674.  
2675.                Discretionary controls are not a replacement for mandatory
2676.                controls.  In an environment in which information is 
2677.                classified (as in the DoD) discretionary security provides
2678.                for a finer granularity of control within the overall
2679.                constraints of the mandatory policy.  Access to classified
2680.                information requires effective implementation of both types
2681.                of controls as precondition to granting that access.  In 
2682.                general, no person may have access to classified
2683.                information unless: (a) that person has been determined to
2684.                be trustworthy, i.e., granted a personnel security 
2685.                clearance -- MANDATORY, and (b) access is necessary for the
2686.                performance of official duties, i.e., determined to have a
2687.                need-to-know -- DISCRETIONARY.  In other words, 
2688.                discretionary controls give individuals discretion to 
2689.                decide on which of the permissible accesses will actually
2690.                be allowed to which users, consistent with overriding
2691.                mandatory policy restrictions.  The control objective is:
2692.  
2693.                DISCRETIONARY SECURITY CONTROL OBJECTIVE
2694.  
2695.                Security policies defined for systems that are used to
2696.                process classified or other sensitive information must
2697.                include provisions for the enforcement of discretionary
2698.                access control rules.  That is, they must include a
2699.                consistent set of rules for controlling and limiting access
2700.                based on identified individuals who have been determined to
2701.                have a need-to-know for the information.
2702.  
2703.      5.3.1.3   Marking
2704.  
2705.                To implement a set of mechanisms that will put into effect
2706.                a mandatory security policy, it is necessary that the 
2707.                system mark information with appropriate classification or
2708.                sensitivity labels and maintain these markings as the
2709.                information moves through the system.  Once information is
2710.                unalterably and accurately marked, comparisons required by
2711.                the mandatory access control rules can be accurately and
2712.                consistently made.  An additional benefit of having the
2713.                system maintain the classification or sensitivity label
2714.                internally is the ability to automatically generate 
2715.                properly "labeled" output.  The labels, if accurately and
2716.                integrally maintained by the system, remain accurate when
2717.                output from the system.  The control objective is:
2718.  
2719.                MARKING CONTROL OBJECTIVE
2720.  
2721.                Systems that are designed to enforce a mandatory security
2722.                policy must store and preserve the integrity of
2723.                classification or other sensitivity labels for all
2724.                information.  Labels exported from the system must be 
2725.                accurate representations of the corresponding internal
2726.                sensitivity labels being exported.
2727.  
2728. 5.3.2  Accountability
2729.  
2730.        The second basic control objective addresses one of the
2731.        fundamental principles of security, i.e., individual 
2732.        accountability.  Individual accountability is the key to securing
2733.        and controlling any system that processes information on behalf
2734.        of individuals or groups of individuals.  A number of requirements
2735.        must be met in order to satisfy this objective.
2736.  
2737.        The first requirement is for individual user identification.
2738.        Second, there is a need for authentication of the identification.
2739.        Identification is functionally dependent on authentication.  
2740.        Without authentication, user identification has no credibility.  
2741.        Without a credible identity, neither mandatory nor discretionary
2742.        security policies can be properly invoked because there is no
2743.        assurance that proper authorizations can be made.
2744.  
2745.        The third requirement is for dependable audit capabilities.  That
2746.        is, a trusted computer system must provide authorized personnel 
2747.        with the ability to audit any action that can potentially cause
2748.        access to, generation of, or effect the release of classified or
2749.        sensitive information.  The audit data will be selectively 
2750.        acquired based on the auditing needs of a particular installation
2751.        and/or application.  However, there must be sufficient granularity
2752.        in the audit data to support tracing the auditable events to a
2753.        specific individual who has taken the actions or on whose behalf
2754.        the actions were taken.  The control objective is:
2755.  
2756.        ACCOUNTABILITY CONTROL OBJECTIVE
2757.  
2758.        Systems that are used to process or handle classified or other 
2759.        sensitive information must assure individual accountability
2760.        whenever either a mandatory or discretionary security policy is
2761.        invoked.  Furthermore, to assure accountability, the capability
2762.        must exist for an authorized and competent agent to access and
2763.        evaluate accountability information by a secure means, within a
2764.        reasonable amount of time, and without undue difficulty.
2765.  
2766. 5.3.3  Assurance
2767.  
2768.        The third basic control objective is concerned with guaranteeing
2769.        or providing confidence that the security policy has been 
2770.        implemented correctly and that the protection-relevant elements of
2771.        the system do, indeed, accurately mediate and enforce the intent
2772.        of that policy.  By extension, assurance must include a guarantee
2773.        that the trusted portion of the system works only as intended.  To
2774.        accomplish these objectives, two types of assurance are needed.
2775.        They are life-cycle assurance and operational assurance.
2776.  
2777.        Life-cycle assurance refers to steps taken by an organization to
2778.        ensure that the system is designed, developed, and maintained 
2779.        using formalized and rigorous controls and standards.[17]  
2780.        Computer systems that process and store sensitive or classified
2781.        information depend on the hardware and software to protect that
2782.        information.  It follows that the hardware and software themselves
2783.        must be protected against unauthorized changes that could cause
2784.        protection mechanisms to malfunction or be bypassed completely.  
2785.        For this reason trusted computer systems must be carefully 
2786.        evaluated and tested during the design and development phases and
2787.        reevaluated whenever changes are made that could affect the
2788.        integrity of the protection mechanisms.  Only in this way can
2789.        confidence be provided that the hardware and software 
2790.        interpretation of the security policy is maintained accurately 
2791.        and without distortion.
2792.  
2793.        While life-cycle assurance is concerned with procedures for
2794.        managing system design, development, and maintenance; operational
2795.        assurance focuses on features and system architecture used to
2796.        ensure that the security policy is uncircumventably enforced
2797.        during system operation.  That is, the security policy must be
2798.        integrated into the hardware and software protection features of
2799.        the system.  Examples of steps taken to provide this kind of
2800.        confidence include: methods for testing the operational hardware 
2801.        and software for correct operation, isolation of protection-
2802.        critical code, and the use of hardware and software to provide
2803.        distinct domains.  The control objective is:
2804.  
2805.        ASSURANCE CONTROL OBJECTIVE
2806.  
2807.        Systems that are used to process or handle classified or other
2808.        sensitive information must be designed to guarantee correct and
2809.        accurate interpretation of the security policy and must not
2810.        distort the intent of that policy.  Assurance must be provided
2811.        that correct implementation and operation of the policy exists
2812.        throughout the system's life-cycle.
2813.  
2814.  
2815.  
2816.                  6.0  RATIONALE BEHIND THE EVALUATION CLASSES
2817.  
2818.  
2819.  
2820. 6.1  THE REFERENCE MONITOR CONCEPT
2821.  
2822. In October of 1972, the Computer Security Technology Planning Study, conducted
2823. by James P.  Anderson & Co., produced a report for the Electronic Systems
2824. Division (ESD) of the United States Air Force.[1]  In that report, the concept
2825. of "a reference monitor which enforces the authorized access relationships
2826. between subjects and objects of a system" was introduced.  The reference
2827. monitor concept was found to be an essential element of any system that would
2828. provide multilevel secure computing facilities and controls.
2829.  
2830. The Anderson report went on to define the reference validation mechanism as
2831. "an implementation of the reference monitor concept .  .  .  that validates
2832. each reference to data or programs by any user (program) against a list of
2833. authorized types of reference for that user." It then listed the three design
2834. requirements that must be met by a reference validation mechanism:
2835.  
2836.      a. The reference validation mechanism must be tamper proof.
2837.  
2838.      b. The reference validation mechanism must always be invoked.
2839.  
2840.      c. The reference validation mechanism must be small enough to be
2841.         subject to analysis and tests, the completeness of which can 
2842.         be assured."[1]
2843.  
2844. Extensive peer review and continuing research and development activities have
2845. sustained the validity of the Anderson Committee's findings.  Early examples
2846. of the reference validation mechanism were known as security kernels.  The
2847. Anderson Report described the security kernel as "that combination of hardware
2848. and software which implements the reference monitor concept."[1]  In this vein,
2849. it will be noted that the security kernel must support the three reference
2850. monitor requirements listed above.
2851.  
2852.  
2853. 6.2  A FORMAL SECURITY POLICY MODEL
2854.  
2855. Following the publication of the Anderson report, considerable research was
2856. initiated into formal models of security policy requirements and of the
2857. mechanisms that would implement and enforce those policy models as a security
2858. kernel.  Prominent among these efforts was the ESD-sponsored development of
2859. the Bell and LaPadula model, an abstract formal treatment of DoD security
2860. policy.[2]  Using mathematics and set theory, the model precisely defines the
2861. notion of secure state, fundamental modes of access, and the rules for
2862. granting subjects specific modes of access to objects.  Finally, a theorem is
2863. proven to demonstrate that the rules are security-preserving operations, so
2864. that the application of any sequence of the rules to a system that is in a
2865. secure state will result in the system entering a new state that is also
2866. secure.  This theorem is known as the Basic Security Theorem.
2867.  
2868. A subject can act on behalf of a user or another subject.  The subject is
2869. created as a surrogate for the cleared user and is assigned a formal security
2870. level based on their classification.  The state transitions and invariants of
2871. the formal policy model define the invariant relationships that must hold
2872. between the clearance of the user, the formal security level of any process
2873. that can act on the user's behalf, and the formal security level of the devices
2874. and other objects to which any process can obtain specific modes of access. 
2875. The Bell and LaPadula model, for example, defines a relationship between formal 
2876. security levels of subjects and objects, now referenced as the "dominance
2877. relation." From this definition, accesses permitted between subjects and
2878. objects are explicitly defined for the fundamental modes of access, including
2879. read-only access, read/write access, and write-only access.  The model defines
2880. the Simple Security Condition to control granting a subject read access to a
2881. specific object, and the *-Property (read "Star Property") to control granting
2882. a subject write access to a specific object.  Both the Simple Security
2883. Condition and the *-Property include mandatory security provisions based on the
2884. dominance relation between formal security levels of subjects and objects the
2885. clearance of the subject and the classification of the object.  The
2886. Discretionary Security Property is also defined, and requires that a specific
2887. subject be authorized for the particular mode of access required for the state
2888. transition.  In its treatment of subjects (processes acting on behalf of a
2889. user), the model distinguishes between trusted subjects (i.e., not constrained
2890. within the model by the *-Property) and untrusted subjects (those that are
2891. constrained by the *-Property).
2892.  
2893. From the Bell and LaPadula model there evolved a model of the method of proof
2894. required to formally demonstrate that all arbitrary sequences of state
2895. transitions are security-preserving.  It was also shown that the *- Property
2896. is sufficient to prevent the compromise of information by Trojan Horse
2897. attacks.
2898.  
2899.  
2900. 6.3  THE TRUSTED COMPUTING BASE
2901.  
2902. In order to encourage the widespread commercial availability of trusted
2903. computer systems, these evaluation criteria have been designed to address
2904. those systems in which a security kernel is specifically implemented as well
2905. as those in which a security kernel has not been implemented.  The latter case
2906. includes those systems in which objective (c) is not fully supported because
2907. of the size or complexity of the reference validation mechanism.  For
2908. convenience, these evaluation criteria use the term Trusted Computing Base to
2909. refer to the reference validation mechanism, be it a security kernel,
2910. front-end security filter, or the entire trusted computer system.
2911.  
2912. The heart of a trusted computer system is the Trusted Computing Base (TCB)
2913. which contains all of the elements of the system responsible for supporting
2914. the security policy and supporting the isolation of objects (code and data) on
2915. which the protection is based.  The bounds of the TCB equate to the "security
2916. perimeter" referenced in some computer security literature.  In the interest
2917. of understandable and maintainable protection, a TCB should be as simple as
2918. possible consistent with the functions it has to perform.  Thus, the TCB
2919. includes hardware, firmware, and software critical to protection and must be
2920. designed and implemented such that system elements excluded from it need not
2921. be trusted to maintain protection.  Identification of the interface and
2922. elements of the TCB along with their correct functionality therefore forms the
2923. basis for evaluation.
2924.  
2925. For general-purpose systems, the TCB will include key elements of the
2926. operating system and may include all of the operating system.  For embedded
2927. systems, the security policy may deal with objects in a way that is meaningful
2928. at the application level rather than at the operating system level.  Thus, the
2929. protection policy may be enforced in the application software rather than in
2930. the underlying operating system.  The TCB will necessarily include all those
2931. portions of the operating system and application software essential to the
2932. support of the policy.  Note that, as the amount of code in the TCB increases,
2933. it becomes harder to be confident that the TCB enforces the reference monitor
2934. requirements under all circumstances.
2935.  
2936.  
2937. 6.4  ASSURANCE
2938.  
2939. The third reference monitor design objective is currently interpreted as
2940. meaning that the TCB "must be of sufficiently simple organization and
2941. complexity to be subjected to analysis and tests, the completeness of which
2942. can be assured."
2943.  
2944. Clearly, as the perceived degree of risk increases (e.g., the range of
2945. sensitivity of the system's protected data, along with the range of clearances
2946. held by the system's user population) for a particular system's operational
2947. application and environment, so also must the assurances be increased to
2948. substantiate the degree of trust that will be placed in the system.  The
2949. hierarchy of requirements that are presented for the evaluation classes in the
2950. trusted computer system evaluation criteria reflect the need for these
2951. assurances.
2952.  
2953. As discussed in Section 5.3, the evaluation criteria uniformly require a
2954. statement of the security policy that is enforced by each trusted computer
2955. system.  In addition, it is required that a convincing argument be presented
2956. that explains why the TCB satisfies the first two design requirements for a
2957. reference monitor.  It is not expected that this argument will be entirely
2958. formal.  This argument is required for each candidate system in order to
2959. satisfy the assurance control objective.
2960.  
2961. The systems to which security enforcement mechanisms have been added, rather
2962. than built-in as fundamental design objectives, are not readily amenable to
2963. extensive analysis since they lack the requisite conceptual simplicity of a
2964. security kernel.  This is because their TCB extends to cover much of the
2965. entire system.  Hence, their degree of trustworthiness can best be ascertained
2966. only by obtaining test results.  Since no test procedure for something as
2967. complex as a computer system can be truly exhaustive, there is always the
2968. possibility that a subsequent penetration attempt could succeed.  It is for
2969. this reason that such systems must fall into the lower evaluation classes.
2970.  
2971. On the other hand, those systems that are designed and engineered to support
2972. the TCB concepts are more amenable to analysis and structured testing.  Formal
2973. methods can be used to analyze the correctness of their reference validation
2974. mechanisms in enforcing the system's security policy.  Other methods,
2975. including less-formal arguments, can be used in order to substantiate claims
2976. for the completeness of their access mediation and their degree of
2977. tamper-resistance.  More confidence can be placed in the results of this
2978. analysis and in the thoroughness of the structured testing than can be placed
2979. in the results for less methodically structured systems.  For these reasons,
2980. it appears reasonable to conclude that these systems could be used in
2981. higher-risk environments.  Successful implementations of such systems would be
2982. placed in the higher evaluation classes.
2983.  
2984.  
2985. 6.5  THE CLASSES
2986.  
2987. It is highly desirable that there be only a small number of overall evaluation
2988. classes.  Three major divisions have been identified in the evaluation
2989. criteria with a fourth division reserved for those systems that have been
2990. evaluated and found to offer unacceptable security protection.  Within each
2991. major evaluation division, it was found that "intermediate" classes of trusted
2992. system design and development could meaningfully be defined.  These
2993. intermediate classes have been designated in the criteria because they
2994. identify systems that:
2995.  
2996.      * are viewed to offer significantly better protection and assurance
2997.        than would systems that satisfy the basic requirements for their
2998.        evaluation class; and
2999.  
3000.      * there is reason to believe that systems in the intermediate
3001.        evaluation classes could eventually be evolved such that they 
3002.        would satisfy the requirements for the next higher evaluation 
3003.        class.
3004.  
3005. Except within division A it is not anticipated that additional "intermediate"
3006. evaluation classes satisfying the two characteristics described above will be
3007. identified.
3008.  
3009. Distinctions in terms of system architecture, security policy enforcement, and
3010. evidence of credibility between evaluation classes have been defined such that
3011. the "jump" between evaluation classes would require a considerable investment
3012. of effort on the part of implementors.  Correspondingly, there are expected to
3013. be significant differentials of risk to which systems from the higher
3014. evaluation classes will be exposed.
3015.  
3016.  
3017.              7.0  THE RELATIONSHIP BETWEEN POLICY AND THE CRITERIA
3018.  
3019.  
3020. Section 1 presents fundamental computer security requirements and Section 5
3021. presents the control objectives for Trusted Computer Systems.  They are
3022. general requirements, useful and necessary, for the development of all secure
3023. systems.  However, when designing systems that will be used to process
3024. classified or other sensitive information, functional requirements for meeting
3025. the Control Objectives become more specific.  There is a large body of policy
3026. laid down in the form of Regulations, Directives, Presidential Executive
3027. Orders, and OMB Circulars that form the basis of the procedures for the
3028. handling and processing of Federal information in general and classified
3029. information specifically.  This section presents pertinent excerpts from these
3030. policy statements and discusses their relationship to the Control Objectives.
3031. These excerpts are examples to illustrate the relationship of the policies to
3032. criteria and may not be complete.
3033.  
3034.  
3035. 7.1  ESTABLISHED FEDERAL POLICIES
3036.  
3037. A significant number of computer security policies and associated requirements
3038. have been promulgated by Federal government elements.  The interested reader
3039. is referred to reference [32] which analyzes the need for trusted systems in
3040. the civilian agencies of the Federal government, as well as in state and local
3041. governments and in the private sector.  This reference also details a number
3042. of relevant Federal statutes, policies and requirements not treated further
3043. below.
3044.  
3045. Security guidance for Federal automated information systems is provided by the
3046. Office of Management and Budget.  Two specifically applicable Circulars have
3047. been issued.  OMB Circular No.  A-71, Transmittal Memorandum No.  1, "Security
3048. of Federal Automated Information Systems,"[26] directs each executive agency
3049. to establish and maintain a computer security program.  It makes the head of
3050. each executive branch, department and agency responsible "for assuring an
3051. adequate level of security for all agency data whether processed in-house or
3052. commercially.  This includes responsibility for the establishment of physical,
3053. administrative and technical safeguards required to adequately protect
3054. personal, proprietary or other sensitive data not subject to national security
3055. regulations, as well as national security data."[26, para. 4 p. 2]
3056.  
3057. OMB Circular No.  A-123, "Internal Control Systems,"[27] issued to help
3058. eliminate fraud, waste, and abuse in government programs requires: (a) agency
3059. heads to issue internal control directives and assign responsibility, (b)
3060. managers to review programs for vulnerability, and (c) managers to perform
3061. periodic reviews to evaluate strengths and update controls.  Soon after
3062. promulgation of OMB Circular A-123, the relationship of its internal control
3063. requirements to building secure computer systems was recognized.[4] While not
3064. stipulating computer controls specifically, the definition of Internal
3065. Controls in A-123 makes it clear that computer systems are to be included:
3066.  
3067.      "Internal Controls - The plan of organization and all of the methods and
3068.       measures adopted within an agency to safeguard its resources, assure the
3069.       accuracy and reliability of its information, assure adherence to 
3070.       applicable laws, regulations and policies, and promote operational 
3071.       economy and efficiency."[27, sec. 4.C]
3072.  
3073. The matter of classified national security information processed by ADP
3074. systems was one of the first areas given serious and extensive concern in
3075. computer security.  The computer security policy documents promulgated as a
3076. result contain generally more specific and structured requirements than most,
3077. keyed in turn to an authoritative basis that itself provides a rather clearly
3078. articulated and structured information security policy.  This basis, Executive
3079. Order 12356, "National Security Information," sets forth requirements for the
3080. classification, declassification and safeguarding of "national security
3081. information" per se.[14]
3082.  
3083.  
3084. 7.2  DOD POLICIES
3085.  
3086. Within the Department of Defense, these broad requirements are implemented and
3087. further specified primarily through two vehicles: 1) DoD Regulation 5200.1-R
3088. [7], which applies to all components of the DoD as such, and 2) DoD 5220.22-M,
3089. "Industrial Security Manual for Safeguarding Classified Information" [11],
3090. which applies to contractors included within the Defense Industrial Security
3091. Program.  Note that the latter transcends DoD as such, since it applies not
3092. only to any contractors handling classified information for any DoD component,
3093. but also to the contractors of eighteen other Federal organizations for whom
3094. the Secretary of Defense is authorized to act in rendering industrial security
3095. services.*
3096.  
3097. ______________________________
3098. * i.e., NASA, Commerce Department, GSA, State Department, Small Business
3099. Administration, National Science Foundation, Treasury Department,
3100. Transportation Department, Interior Department, Agriculture Department, U.S.
3101. Information Agency, Labor Department, Environmental Protection Agency, Justice
3102. Department, U.S. Arms Control and Disarmament Agency, Federal Emergency
3103. Management Agency, Federal Reserve System, and U.S. General Accounting Office.
3104.  
3105. For ADP systems, these information security requirements are further amplified
3106. and specified in: 1) DoD Directive 5200.28 [8] and DoD Manual 5200.28-M [9],
3107. for DoD components; and 2) Section XIII of DoD 5220.22-M [11] for contractors.
3108. DoD Directive 5200.28, "Security Requirements for Automatic Data Processing
3109. (ADP) Systems," stipulates: "Classified material contained in an ADP system
3110. shall be safeguarded by the continuous employment of protective features in
3111. the system's hardware and software design and configuration .  .  .  ."[8,
3112. sec.  IV] Furthermore, it is required that ADP systems that "process, store,
3113. or use classified data and produce classified information will, with
3114. reasonable dependability, prevent:
3115.  
3116.      a.  Deliberate or inadvertent access to classified material by
3117.          unauthorized persons, and
3118.  
3119.      b.  Unauthorized manipulation of the computer and its associated
3120.          peripheral devices."[8, sec. I B.3]
3121.  
3122. Requirements equivalent to these appear within DoD 5200.28-M [9] and in DoD
3123. 5220.22-M [11].
3124.  
3125. DoD Directove 5200.28 provides the security requirements for ADP systems.  For
3126. some types of information, such as Sensitive Compartmented Information (SCI),
3127. DoD Directive 5200.28 states that other minimum security requirements also
3128. apply.  These minima are found in DCID l/l6 (new reference number 5) which is
3129. implemented in DIAM 50-4 (new reference number 6) for DoD and DoD contractor
3130. ADP systems.
3131.  
3132. From requirements imposed by these regulations, directives and circulars, the
3133. three components of the Security Policy Control Objective, i.e., Mandatory and
3134. Discretionary Security and Marking, as well as the Accountability and
3135. Assurance Control Objectives, can be functionally defined for DoD
3136. applications.  The following discussion provides further specificity in Policy
3137. for these Control Objectives.
3138.  
3139.  
3140. 7.3  CRITERIA CONTROL OBJECTIVE FOR SECURITY POLICY
3141.  
3142. 7.3.1  Marking
3143.  
3144.        The control objective for marking is: "Systems that are designed
3145.        to enforce a mandatory security policy must store and preserve the
3146.        integrity of classification or other sensitivity labels for all 
3147.        information.  Labels exported from the system must be accurate 
3148.        representations of the corresonding internal sensitivity labels
3149.        being exported."
3150.  
3151.        DoD 5220.22-M, "Industrial Security Manual for Safeguarding
3152.        Classified Information," explains in paragraph 11 the reasons for 
3153.        marking information:
3154.  
3155.             "a.  General.  Classification designation by physical 
3156.             marking, notation or other means serves to warn and to
3157.             inform the holder what degree of protection against 
3158.             unauthorized disclosure is reqired for that information
3159.             or material."  (14)
3160.  
3161.        Marking requirements are given in a number of policy statements.
3162.  
3163.        Executive Order 12356 (Sections 1.5.a and 1.5.a.1) requires that
3164.        classification markings "shall be shown on the face of all 
3165.        classified documents, or clearly associated with other forms of 
3166.        classified information in a manner appropriate to the medium 
3167.        involved."[14]
3168.  
3169.        DoD Regulation 5200.1-R (Section 1-500) requires that: ".  .  .
3170.        information or material that requires protection against 
3171.        unauthorized disclosure in the interest of national security shall
3172.        be classified in one of three designations, namely: 'Top Secret,'
3173.        'Secret' or 'Confidential.'"[7] (By extension, for use in computer
3174.        processing, the unofficial designation "Unclassified" is used to
3175.        indicate information that does not fall under one of the other
3176.        three designations of classified information.)
3177.  
3178.        DoD Regulation 5200.1-R (Section 4-304b) requires that: "ADP
3179.        systems and word processing systems employing such media shall 
3180.        provide for internal classification marking to assure that 
3181.        classified information contained therein that is reproduced or 
3182.        generated, will bear applicable classification and associated
3183.        markings." (This regulation provides for the exemption of certain
3184.        existing systems where "internal classification and applicable
3185.        associated markings cannot be implemented without extensive system
3186.        modifications."[7]  However, it is clear that future DoD ADP 
3187.        systems must be able to provide applicable and accurate labels for
3188.        classified and other sensitive information.)
3189.  
3190.        DoD Manual 5200.28-M (Section IV, 4-305d) requires the following:
3191.        "Security Labels - All classified material accessible by or within
3192.        the ADP system shall be identified as to its security 
3193.        classification and access or dissemination limitations, and all
3194.        output of the ADP system shall be appropriately marked."[9]
3195.  
3196. 7.3.2  Mandatory Security
3197.  
3198.        The control objective for mandatory security is: "Security
3199.        policies defined for systems that are used to process classified
3200.        or other specifically categorized sensitive information must 
3201.        include provisions for the enforcement of mandatory access control
3202.        rules.  That is, they must include a set of rules for controlling
3203.        access based directly on a comparison of the individual's
3204.        clearance or authorization for the information and the 
3205.        classification or sensitivity designation of the information being
3206.        sought, and indirectly on considerations of physical and other 
3207.        environmental factors of control.  The mandatory access control
3208.        rules must accurately reflect the laws, regulations, and general
3209.        policies from which they are derived."
3210.  
3211.        There are a number of policy statements that are related to
3212.        mandatory security.
3213.  
3214.        Executive Order 12356 (Section 4.1.a) states that "a person is
3215.        eligible for access to classified information provided that a 
3216.        determination of trustworthiness has been made by agency heads or
3217.        designated officials and provided that such access is essential
3218.        to the accomplishment of lawful and authorized Government
3219.        purposes."[14]
3220.  
3221.        DoD Regulation 5200.1-R (Chapter I, Section 3) defines a Special
3222.        Access Program as "any program imposing 'need-to-know' or access
3223.        controls beyond those normally provided for access to 
3224.        Confidential, Secret, or Top Secret information.  Such a program
3225.        includes, but is not limited to, special clearance, adjudication,
3226.        or investigative requirements, special designation of officials
3227.        authorized to determine 'need-to-know', or special lists of persons
3228.        determined to have a 'need-to- know.'"[7, para.  1-328] This
3229.        passage distinguishes between a 'discretionary' determination of
3230.        need-to-know and formal need-to-know which is implemented through
3231.        Special Access Programs.  DoD Regulation 5200.1-R, paragraph 7-100
3232.        describes general requirements for trustworthiness (clearance) and
3233.        need-to-know, and states that the individual with possession,
3234.        knowledge or control of classified information has final
3235.        responsibility for determining if conditions for access have been
3236.        met.  This regulation further stipulates that "no one has a right
3237.        to have access to classified information solely by virtue of rank
3238.        or position." [7, para. 7-100])
3239.  
3240.        DoD Manual 5200.28-M (Section II 2-100) states that, "Personnel
3241.        who develop, test (debug), maintain, or use programs which are 
3242.        classified or which will be used to access or develop classified
3243.        material shall have a personnel security clearance and an access
3244.        authorization (need-to-know), as appropriate for the highest
3245.        classified and most restrictive category of classified material
3246.        which they will access under system constraints."[9]
3247.  
3248.        DoD Manual 5220.22-M (Paragraph 3.a) defines access as "the
3249.        ability and opportunity to obtain knowledge of classified 
3250.        information.  An individual, in fact, may have access to 
3251.        classified information by being in a place where such information
3252.        is kept, if the security measures which are in force do not
3253.        prevent him from gaining knowledge of the classified 
3254.        information."[11]
3255.  
3256.        The above mentioned Executive Order, Manual, Directives and
3257.        Regulations clearly imply that a trusted computer system must 
3258.        assure that the classification labels associated with sensitive
3259.        data cannot be arbitrarily changed, since this could permit
3260.        individuals who lack the appropriate clearance to access
3261.        classified information.  Also implied is the requirement that a
3262.        trusted computer system must control the flow of information so 
3263.        that data from a higher classification cannot be placed in a 
3264.        storage object of lower classification unless its "downgrading" 
3265.        has been authorized.
3266.  
3267. 7.3.3  Discretionary Security
3268.  
3269.        The term discretionary security refers to a computer system's
3270.        ability to control information on an individual basis.  It stems
3271.        from the fact that even though an individual has all the formal 
3272.        clearances for access to specific classified information, each
3273.        individual's access to information must be based on a demonstrated
3274.        need-to-know.  Because of this, it must be made clear that this
3275.        requirement is not discretionary in a "take it or leave it" sense.
3276.        The directives and regulations are explicit in stating that the
3277.        need-to-know test must be satisfied before access can be granted 
3278.        to the classified information.  The control objective for 
3279.        discretionary security is: "Security policies defined for systems
3280.        that are used to process classified or other sensitive information
3281.        must include provisions for the enforcement of discretionary
3282.        access control rules.  That is, they must include a consistent set
3283.        of rules for controlling and limiting access based on identified
3284.        individuals who have been determined to have a need-to-know for the
3285.        information."
3286.  
3287.        DoD Regulation 5200.1-R (Paragraph 7-100) In addition to excerpts
3288.        already provided that touch on need-to- know, this section of the
3289.        regulation stresses the need- to-know principle when it states "no
3290.        person may have access to classified information unless .  .  .  
3291.        access is necessary for the performance of official duties."[7]
3292.  
3293.        Also, DoD Manual 5220.22-M (Section III 20.a) states that "an
3294.        individual shall be permitted to have access to classified
3295.        information only . . . when the contractor determines that access
3296.        is necessary in the performance of tasks or services essential to
3297.        the fulfillment of a contract or program, i.e., the individual has
3298.        a need-to-know."[11]
3299.  
3300.  
3301. 7.4  CRITERIA CONTROL OBJECTIVE FOR ACCOUNTABILITY
3302.  
3303. The control objective for accountability is: "Systems that are used to process
3304. or handle classified or other sensitive information must assure individual
3305. accountability whenever either a mandatory or discretionary security policy is
3306. invoked.  Furthermore, to assure accountability the capability must exist for
3307. an authorized and competent agent to access and evaluate accountability
3308. information by a secure means, within a reasonable amount of time, and without
3309. undue difficulty."
3310.  
3311. This control objective is supported by the following citations:
3312.  
3313.      DoD Directive 5200.28 (VI.A.1) states: "Each user's identity shall be
3314.      positively established, and his access to the system, and his activity in
3315.      the system (including material accessed and actions taken) controlled and
3316.      open to scrutiny."[8]
3317.  
3318.      DoD Manual 5200.28-M (Section V 5-100) states: "An audit log or file
3319.      (manual, machine, or a combination of both) shall be maintained as a 
3320.      history of the use of the ADP System to permit a regular security review
3321.      of system activity.  (e.g., The log should record security related 
3322.      transactions, including each access to a classified file and the nature 
3323.      of the access, e.g., logins, production of accountable classified 
3324.      outputs, and creation of new classified files.  Each classified file
3325.      successfully accessed [regardless of the number of individual references]
3326.      during each 'job' or 'interactive session' should also be recorded in the
3327.      audit log.  Much of the material in this log may also be required to 
3328.      assure that the system preserves information entrusted to it.)"[9]
3329.  
3330.      DoD Manual 5200.28-M (Section IV 4-305f) states: "Where needed to assure
3331.      control of access and individual accountability, each user or specific 
3332.      group of users shall be identified to the ADP System by appropriate 
3333.      administrative or hardware/software measures.  Such identification 
3334.      measures must be in sufficient detail to enable the ADP System to provide
3335.      the user only that material which he is authorized."[9]
3336.  
3337.      DoD Manual 5200.28-M (Section I 1-102b) states: 
3338.  
3339.      "Component's Designated Approving Authorities, or their designees
3340.       for this purpose .  .  .  will assure:
3341.  
3342.                  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3343.  
3344.            (4) Maintenance of documentation on operating systems (O/S)
3345.            and all modifications thereto, and its retention for a
3346.            sufficient period of time to enable tracing of security-
3347.            related defects to their point of origin or inclusion in the
3348.            system.
3349.  
3350.                  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3351.  
3352.            (6) Establishment of procedures to discover, recover,
3353.            handle, and dispose of classified material improperly
3354.            disclosed through system malfunction or personnel action.
3355.  
3356.            (7) Proper disposition and correction of security
3357.            deficiencies in all approved ADP Systems, and the effective
3358.            use and disposition of system housekeeping or audit records,
3359.            records of security violations or security-related system
3360.            malfunctions, and records of tests of the security features
3361.            of an ADP System."[9]
3362.  
3363.      DoD Manual 5220.22-M (Section XIII 111) states: "Audit Trails
3364.  
3365.            a. The general security requirement for any ADP system audit
3366.            trail is that it provide a documented history of the use of
3367.            the system.  An approved audit trail will permit review of
3368.            classified system activity and will provide a detailed
3369.            activity record to facilitate reconstruction of events to
3370.            determine the magnitude of compromise (if any) should a
3371.            security malfunction occur.  To fulfill this basic
3372.            requirement, audit trail systems, manual, automated or a
3373.            combination of both must document significant events
3374.            occurring in the following areas of concern: (i) preparation
3375.            of input data and dissemination of output data (i.e.,
3376.            reportable interactivity between users and system support
3377.            personnel), (ii) activity involved within an ADP environment
3378.            (e.g., ADP support personnel modification of security and
3379.            related controls), and (iii) internal machine activity.
3380.  
3381.            b. The audit trail for an ADP system approved to process
3382.            classified information must be based on the above three
3383.            areas and may be stylized to the particular system.  All
3384.            systems approved for classified processing should contain
3385.            most if not all of the audit trail records listed below. The
3386.            contractor's SPP documentation must identify and describe
3387.            those applicable:
3388.  
3389.                       1. Personnel access;
3390.  
3391.                       2. Unauthorized and surreptitious entry into the
3392.            central computer facility or remote terminal areas;
3393.  
3394.                       3. Start/stop time of classified processing indicating
3395.            pertinent systems security initiation and termination events
3396.            (e.g., upgrading/downgrading actions pursuant to paragraph
3397.            107);
3398.  
3399.                       4. All functions initiated by ADP system console
3400.            operators;
3401.  
3402.                       5. Disconnects of remote terminals and peripheral
3403.            devices (paragraph 107c);
3404.  
3405.                       6. Log-on and log-off user activity;
3406.  
3407.                       7. Unauthorized attempts to access files or programs,
3408.            as well as all open, close, create, and file destroy
3409.            actions;
3410.  
3411.                       8. Program aborts and anomalies including
3412.            identification information (i.e., user/program name, time
3413.            and location of incident, etc.);
3414.  
3415.                       9. System hardware additions, deletions and maintenance
3416.            actions;
3417.  
3418.                       10. Generations and modifications affecting the
3419.            security features of the system software.
3420.  
3421.            c. The ADP system security supervisor or designee shall
3422.            review the audit trail logs at least weekly to assure that
3423.            all pertinent activity is properly recorded and that
3424.            appropriate action has been taken to correct any anomaly.
3425.            The majority of ADP systems in use today can develop audit
3426.            trail systems in accord with the above; however, special
3427.            systems such as weapons, communications, communications
3428.            security, and tactical data exchange and display systems,
3429.            may not be able to comply with all aspects of the above and
3430.            may require individualized consideration by the cognizant
3431.            security office.
3432.  
3433.            d. Audit trail records shall be retained for a period of one
3434.            inspection cycle."[11]
3435.  
3436.  
3437. 7.5  CRITERIA CONTROL OBJECTIVE FOR ASSURANCE
3438.  
3439. The control objective for assurance is: "Systems that are used to process or
3440. handle classified or other sensitive information must be designed to guarantee
3441. correct and accurate interpretation of the security policy and must not distort
3442. the intent of that policy.  Assurance must be provided that correct
3443. implementation and operation of the policy exists throughout the system's
3444. life-cycle."
3445.  
3446. A basis for this objective can be found in the following sections of DoD     
3447. Directive 5200.28:
3448.  
3449.      DoD Directive 5200.28 (IV.B.1) stipulates: "Generally, security of an ADP
3450.      system is most effective and economical if the system is designed 
3451.      originally to provide it.  Each Department of Defense Component 
3452.      undertaking design of an ADP system which is expected to process, store,
3453.      use, or produce classified material shall:  From the beginning of the 
3454.      design process, consider the security policies, concepts, and measures
3455.      prescribed in this Directive."[8]
3456.  
3457.      DoD Directive 5200.28 (IV.C.5.a) states: "Provision may be made to permit
3458.      adjustment of ADP system area controls to the level of protection 
3459.      required for the classification category and type(s) of material actually
3460.      being handled by the system, provided change procedures are developed and
3461.      implemented which will prevent both the unauthorized access to classified
3462.      material handled by the system and the unauthorized manipulation of the
3463.      system and its components.  Particular attention shall be given to the
3464.      continuous protection of automated system security measures, techniques
3465.      and procedures when the personnel security clearance level of users
3466.      having access to the system changes."[8]
3467.  
3468.      DoD Directive 5200.28 (VI.A.2) states: "Environmental Control.  The ADP
3469.      System shall be externally protected to minimize the likelihood of
3470.      unauthorized access to system entry points, access to classified 
3471.      information in the system, or damage to the system."[8]
3472.  
3473.      DoD Manual 5200.28-M (Section I 1-102b) states: 
3474.  
3475.      "Component's Designated Approving Authorities, or their designees
3476.      for this purpose .  .  .  will assure:
3477.  
3478.                   .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3479.  
3480.               (5) Supervision, monitoring, and testing, as appropriate, of
3481.           changes in an approved ADP System which could affect the
3482.           security features of the system, so that a secure system is
3483.           maintained.
3484.  
3485.                   .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .
3486.  
3487.               (7) Proper disposition and correction of security
3488.           deficiencies in all approved ADP Systems, and the effective
3489.           use and disposition of system housekeeping or audit records,
3490.           records of security violations or security-related system
3491.           malfunctions, and records of tests of the security features
3492.           of an ADP System.
3493.  
3494.               (8) Conduct of competent system ST&E, timely review of
3495.           system ST&E reports, and correction of deficiencies needed
3496.           to support conditional or final approval or disapproval of
3497.           an ADP System for the processing of classified information.
3498.  
3499.               (9) Establishment, where appropriate, of a central ST&E
3500.           coordination point for the maintenance of records of
3501.           selected techniques, procedures, standards, and tests used
3502.           in the testing and evaluation of security features of ADP
3503.           Systems which may be suitable for validation and use by
3504.           other Department of Defense Components."[9]
3505.  
3506.      DoD Manual 5220.22-M (Section XIII 103a) requires: "the initial approval,
3507.      in writing, of the cognizant security office prior to processing any
3508.      classified information in an ADP system.  This section requires 
3509.      reapproval by the cognizant security office for major system 
3510.      modifications made subsequent to initial approval.  Reapprovals will be 
3511.      required because of (i) major changes in personnel access requirements,
3512.      (ii) relocation or structural modification of the central computer
3513.      facility, (iii) additions, deletions or changes to main frame, storage or
3514.      input/output devices, (iv) system software changes impacting security
3515.      protection features, (v) any change in clearance, declassification, audit
3516.      trail or hardware/software maintenance procedures, and (vi) other system
3517.      changes as determined by the cognizant security office."[11]
3518.  
3519.      A major component of assurance, life-cycle assurance, as described in DoD
3520.      Directive 7920.l, is concerned with testing ADP systems both in the
3521.      development phase as well as during operation (17).  DoD Directive 5215.1
3522.      (Section F.2.C.(2)) requires "evaluations of selected industry and
3523.      government-developed trusted computer systems against these criteria."[10]
3524.  
3525.  
3526.                       8.0  A GUIDELINE ON COVERT CHANNELS
3527.  
3528.  
3529. A covert channel is any communication channel that can be exploited by a
3530. process to transfer information in a manner that violates the system's
3531. security policy.  There are two types of covert channels: storage channels and
3532. timing channels.  Covert storage channels include all vehicles that would
3533. allow the direct or indirect writing of a storage location by one process and
3534. the direct or indirect reading of it by another.  Covert timing channels
3535. include all vehicles that would allow one process to signal information to
3536. another process by modulating its own use of system resources in such a way
3537. that the change in response time observed by the second process would provide
3538. information.
3539.  
3540. From a security perspective, covert channels with low bandwidths represent a
3541. lower threat than those with high bandwidths.  However, for many types of
3542. covert channels, techniques used to reduce the bandwidth below a certain rate
3543. (which depends on the specific channel mechanism and the system architecture)
3544. also have the effect of degrading the performance provided to legitimate
3545. system users.  Hence, a trade-off between system performance and covert
3546. channel bandwidth must be made.  Because of the threat of compromise that
3547. would be present in any multilevel computer system containing classified or
3548. sensitive information, such systems should not contain covert channels with
3549. high bandwidths.  This guideline is intended to provide system developers with
3550. an idea of just how high a "high" covert channel bandwidth is.
3551.  
3552. A covert channel bandwidth that exceeds a rate of one hundred (100) bits per
3553. second is considered "high" because 100 bits per second is the approximate
3554. rate at which many computer terminals are run.  It does not seem appropriate
3555. to call a computer system "secure" if information can be compromised at a rate
3556. equal to the normal output rate of some commonly used device.
3557.  
3558. In any multilevel computer system there are a number of relatively
3559. low-bandwidth covert channels whose existence is deeply ingrained in the
3560. system design.  Faced with the large potential cost of reducing the bandwidths
3561. of such covert channels, it is felt that those with maximum bandwidths of less
3562. than one (1) bit per second are acceptable in most application environments.
3563. Though maintaining acceptable performance in some systems may make it
3564. impractical to eliminate all covert channels with bandwidths of 1 or more bits
3565. per second, it is possible to audit their use without adversely affecting
3566. system performance.  This audit capability provides the system administration
3567. with a means of detecting -- and procedurally correcting -- significant
3568. compromise.  Therefore, a Trusted Computing Base should provide, wherever
3569. possible, the capability to audit the use of covert channel mechanisms with
3570. bandwidths that may exceed a rate of one (1) bit in ten (10) seconds.
3571.  
3572. The covert channel problem has been addressed by a number of authors.  The
3573. interested reader is referred to references [5], [6], [19], [21], [22], [23],
3574. and [29].
3575.  
3576.  
3577.        9.0  A GUIDELINE ON CONFIGURING MANDATORY ACCESS CONTROL FEATURES
3578.  
3579.  
3580. The Mandatory Access Control requirement includes a capability to support an
3581. unspecified number of hierarchical classifications and an unspecified number
3582. of non-hierarchical categories at each hierarchical level.  To encourage
3583. consistency and portability in the design and development of the National
3584. Security Establishment trusted computer systems, it is desirable for all such
3585. systems to be able to support a minimum number of levels and categories.  The
3586. following suggestions are provided for this purpose:
3587.  
3588.      * The number of hierarchical classifications should be greater than or
3589.        equal to sixteen (16).
3590.  
3591.      * The number of non-hierarchical categories should be greater than or
3592.        equal to sixty-four (64).
3593.  
3594.  
3595.  
3596.                      10.0  A GUIDELINE ON SECURITY TESTING
3597.  
3598.  
3599. These guidelines are provided to give an indication of the extent and
3600. sophistication of testing undertaken by the DoD Computer Security Center
3601. during the Formal Product Evaluation process.  Organizations wishing to use
3602. "Department of Defense Trusted Computer System Evaluation Criteria" for
3603. performing their own evaluations may find this section useful for planning
3604. purposes.
3605.  
3606. As in Part I, highlighting is used to indicate changes in the guidelines from
3607. the next lower division.
3608.  
3609.  
3610. 10.1  TESTING FOR DIVISION C
3611.  
3612. 10.1.1  Personnel
3613.  
3614.         The security testing team shall consist of at least two
3615.         individuals with bachelor degrees in Computer Science or the
3616.         equivalent.  Team members shall be able to follow test plans
3617.         prepared by the system developer and suggest additions, shall
3618.         be familiar with the "flaw hypothesis" or equivalent security
3619.         testing methodology, and shall have assembly level programming
3620.         experience.  Before testing begins, the team members shall have
3621.         functional knowledge of, and shall have completed the system 
3622.         developer's internals course for, the system being evaluated.
3623.  
3624. 10.1.2  Testing
3625.  
3626.         The team shall have "hands-on" involvement in an independent run
3627.         of the tests used by the system developer.  The team shall 
3628.         independently design and implement at least five system-specific
3629.         tests in an attempt to circumvent the security mechanisms of the
3630.         system.  The elapsed time devoted to testing shall be at least
3631.         one month and need not exceed three months.  There shall be no
3632.         fewer than twenty hands-on hours spent carrying out system
3633.         developer-defined tests and test team-defined tests.
3634.  
3635.  
3636. 10.2  TESTING FOR DIVISION B
3637.  
3638. 10.2.1  Personnel
3639.  
3640.         The security testing team shall consist of at least two
3641.         individuals with bachelor degrees in Computer Science or the 
3642.         equivalent and at least one individual with a master's degree in
3643.         Computer Science or equivalent.  Team members shall be able to
3644.         follow test plans prepared by the system developer and suggest
3645.         additions, shall be conversant with the "flaw hypothesis" or
3646.         equivalent security testing methodology, shall be fluent in the
3647.         TCB implementation language(s), and shall have assembly level 
3648.         programming experience.  Before testing begins, the team members
3649.         shall have functional knowledge of, and shall have completed the
3650.         system developer's internals course for, the system being
3651.         evaluated.  At least one team member shall have previously
3652.         completed a security test on another system.
3653.  
3654. 10.2.2  Testing
3655.  
3656.         The team shall have "hands-on" involvement in an independent run
3657.         of the test package used by the system developer to test 
3658.         security-relevant hardware and software.  The team shall
3659.         independently design and implement at least fifteen system-
3660.         specific tests in an attempt to circumvent the security
3661.         mechanisms of the system.  The elapsed time devoted to testing 
3662.         shall be at least two months and need not exceed four months.  
3663.         There shall be no fewer than thirty hands-on hours per team
3664.         member spent carrying out system developer-defined tests and
3665.         test team-defined tests.
3666.  
3667.  
3668. 10.3  TESTING FOR DIVISION A
3669.  
3670. 10.3.1  Personnel
3671.  
3672.         The security testing team shall consist of at least one
3673.         individual with a bachelor's degree in Computer Science or the 
3674.         equivalent and at least two individuals with masters' degrees in
3675.         Computer Science or equivalent.  Team members shall be able to 
3676.         follow test plans prepared by the system developer and suggest
3677.         additions, shall be conversant with the "flaw hypothesis" or
3678.         equivalent security testing methodology, shall be fluent in the
3679.         TCB implementation language(s), and shall have assembly level 
3680.         programming experience.  Before testing begins, the team members
3681.         shall have functional knowledge of, and shall have completed the
3682.         system developer's internals course for, the system being
3683.         evaluated.  At least one team member shall be familiar enough
3684.         with the system hardware to understand the maintenance diagnostic
3685.         programs and supporting hardware documentation.  At least two 
3686.         team members shall have previously completed a security test on
3687.         another system.  At least one team member shall have 
3688.         demonstrated system level programming competence on the system
3689.         under test to a level of complexity equivalent to adding a device
3690.         driver to the system.
3691.  
3692. 10.3.2  Testing
3693.  
3694.         The team shall have "hands-on" involvement in an independent run
3695.         of the test package used by the system developer to test 
3696.         security-relevant hardware and software.  The team shall 
3697.         independently design and implement at least twenty-five system-
3698.         specific tests in an attempt to circumvent the security
3699.         mechanisms of the system.  The elapsed time devoted to testing 
3700.         shall be at least three months and need not exceed six months.  
3701.         There shall be no fewer than fifty hands-on hours per team 
3702.         member spent carrying out system developer-defined tests and
3703.         test team-defined tests.
3704.  
3705.  
3706.                                   APPENDIX A
3707.  
3708.                      COMMERCIAL PRODUCE EVALUATION PROCESS
3709.  
3710.  
3711. "Department of Defense Trusted Computer System Evaluation Criteria" forms the
3712. basis upon which the Computer Security Center will carry out the commercial
3713. computer security evaluation process.  This process is focused on commercially
3714. produced and supported general-purpose operating system products that meet the
3715. needs of government departments and agencies.  The formal evaluation is aimed
3716. at "off-the-shelf" commercially supported products and is completely divorced
3717. from any consideration of overall system performance, potential applications,
3718. or particular processing environments.  The evaluation provides a key input to
3719. a computer system security approval/accreditation.  However, it does not
3720. constitute a complete computer system security evaluation.  A complete study
3721. (e.g., as in reference [18]) must consider additional factors dealing with the
3722. system in its unique environment, such as it's proposed security mode of
3723. operation, specific users, applications, data sensitivity, physical and
3724. personnel security, administrative and procedural security, TEMPEST, and
3725. communications security.
3726.  
3727. The product evaluation process carried out by the Computer Security Center has
3728. three distinct elements:
3729.  
3730.      * Preliminary Product Evaluation - An informal dialogue between a vendor
3731.        and the Center in which technical information is exchanged to create a
3732.        common understanding of the vendor's product, the criteria, and the 
3733.        rating that may be expected to result from a formal product evaluation.
3734.  
3735.      * Formal Product Evaluation - A formal evaluation, by the Center, of a
3736.        product that is available to the DoD, and that results in that product
3737.        and its assigned rating being placed on the Evaluated Products List.
3738.  
3739.      * Evaluated Products List - A list of products that have been subjected
3740.        to formal product evaluation and their assigned ratings.
3741.  
3742.  
3743. Preliminary Product Evaluation
3744.  
3745. Since it is generally very difficult to add effective security measures late
3746. in a product's life cycle, the Center is interested in working with system
3747. vendors in the early stages of product design.  A preliminary product
3748. evaluation allows the Center to consult with computer vendors on computer
3749. security issues found in products that have not yet been formally announced.
3750.  
3751. A preliminary evaluation is typically initiated by computer system vendors who
3752. are planning new computer products that feature security or major
3753. security-related upgrades to existing products.  After an initial meeting
3754. between the vendor and the Center, appropriate non-disclosure agreements are
3755. executed that require the Center to maintain the confidentiality of any
3756. proprietary information disclosed to it.  Technical exchange meetings follow
3757. in which the vendor provides details about the proposed product (particularly
3758. its internal designs and goals) and the Center provides expert feedback to the
3759. vendor on potential computer security strengths and weaknesses of the vendor's
3760. design choices, as well as relevant interpretation of the criteria.  The
3761. preliminary evaluation is typically terminated when the product is completed
3762. and ready for field release by the vendor.  Upon termination, the Center
3763. prepares a wrap-up report for the vendor and for internal distribution within
3764. the Center.  Those reports containing proprietary information are not
3765. available to the public.
3766.  
3767. During preliminary evaluation, the vendor is under no obligation to actually
3768. complete or market the potential product.  The Center is, likewise, not
3769. committed to conduct a formal product evaluation.  A preliminary evaluation
3770. may be terminated by either the Center or the vendor when one notifies the
3771. other, in writing, that it is no longer advantageous to continue the
3772. evaluation.
3773.  
3774.  
3775. Formal Product Evaluation
3776.  
3777. The formal product evaluation provides a key input to certification of a
3778. computer system for use in National Security Establishment applications and is
3779. the sole basis for a product being placed on the Evaluated Products List.
3780.  
3781. A formal product evaluation begins with a request by a vendor for the Center
3782. to evaluate a product for which the product itself and accompanying
3783. documentation needed to meet the requirements defined by this publication are
3784. complete.  Non-disclosure agreements are executed and a formal product
3785. evaluation team is formed by the Center.  An initial meeting is then held with
3786. the vendor to work out the schedule for the formal evaluation.  Since testing
3787. of the implemented product forms an important part of the evaluation process,
3788. access by the evaluation team to a working version of the system is negotiated
3789. with the vendor.  Additional support required from the vendor includes
3790. complete design documentation, source code, and access to vendor personnel who
3791. can answer detailed questions about specific portions of the product.  The
3792. evaluation team tests the product against each requirement, making any
3793. necessary interpretations of the criteria with respect to the product being
3794. evaluated.
3795.  
3796. The evaluation team writes a final report on their findings about the system. 
3797. The report is publicly available (containing no proprietary or sensitive
3798. information) and contains the overall class rating assigned to the system and
3799. the details of the evalution team's findings when comparing the product against
3800. the evaluation criteria.  Detailed information concerning vulnerabilities found
3801. by the evaluation team is furnished to the system developers and designers as
3802. each is found so that the vendor has a chance to eliminate as many of them as
3803. possible prior to the completion of the Formal Product Evaluation. 
3804. Vulnerability analyses and other proprietary or sensitive information are
3805. controlled within the Center through the Vulnerability Reporting Program and
3806. are distributed only within the U.S. Government on a strict need-to-know and
3807. non-disclosure basis, and to the vendor.
3808.  
3809.                                   APPENDIX B
3810.  
3811.                    SUMMARY OF EVALUATION CRITERIA DIVISIONS
3812.  
3813.  
3814. The divisions of systems recognized under the trusted computer system
3815. evaluation criteria are as follows.  Each division represents a major
3816. improvement in the overall confidence one can place in the system to protect
3817. classified and other sensitive information.
3818.  
3819. Division (D):  Minimal Protection
3820.  
3821. This division contains only one class.  It is reserved for those systems that
3822. have been evaluated but that fail to meet the requirements for a higher
3823. evaluation class.
3824.  
3825. Division (C):  Discretionary Protection
3826.  
3827. Classes in this division provide for discretionary (need-to-know) protection
3828. and, through the inclusion of audit capabilities, for accountability of
3829. subjects and the actions they initiate.
3830.  
3831. Division (B):  Mandatory Protection
3832.  
3833. The notion of a TCB that preserves the integrity of sensitivity labels and
3834. uses them to enforce a set of mandatory access control rules is a major
3835. requirement in this division.  Systems in this division must carry the
3836. sensitivity labels with major data structures in the system.  The system
3837. developer also provides the security policy model on which the TCB is based
3838. and furnishes a specification of the TCB.  Evidence must be provided to
3839. demonstrate that the reference monitor concept has been implemented.
3840.  
3841. Division (A):  Verified Protection
3842.  
3843. This division is characterized by the use of formal security verification
3844. methods to assure that the mandatory and discretionary security controls
3845. employed in the system can effectively protect classified or other sensitive
3846. information stored or processed by the system.  Extensive documentation is
3847. required to demonstrate that the TCB meets the security requirements in all
3848. aspects of design, development and implementation.
3849.  
3850.  
3851.  
3852.                                   APPENDIX C
3853.  
3854.                     SUMMARY OF EVALUATION CRITERIA CLASSES
3855.  
3856.  
3857. The classes of systems recognized under the trusted computer system evaluation
3858. criteria are as follows.  They are presented in the order of increasing
3859. desirablity from a computer security point of view.
3860.  
3861. Class (D):  Minimal Protection
3862.  
3863. This class is reserved for those systems that have been evaluated but that
3864. fail to meet the requirements for a higher evaluation class.
3865.  
3866. Class (C1):  Discretionary Security Protection
3867.  
3868. The Trusted Computing Base (TCB) of a class (C1) system nominally satisfies
3869. the discretionary security requirements by providing separation of users and
3870. data.  It incorporates some form of credible controls capable of enforcing
3871. access limitations on an individual basis, i.e., ostensibly suitable for
3872. allowing users to be able to protect project or private information and to
3873. keep other users from accidentally reading or destroying their data.  The
3874. class (C1) environment is expected to be one of cooperating users processing
3875. data at the same level(s) of sensitivity.
3876.  
3877. Class (C2):  Controlled Access Protection
3878.  
3879. Systems in this class enforce a more finely grained discretionary access
3880. control than (C1) systems, making users individually accountable for their
3881. actions through login procedures, auditing of security-relevant events, and
3882. resource isolation.
3883.  
3884. Class (B1):  Labeled Security Protection
3885.  
3886. Class (B1) systems require all the features required for class (C2).  In
3887. addition, an informal statement of the security policy model, data labeling,
3888. and mandatory access control over named subjects and objects must be present.
3889. The capability must exist for accurately labeling exported information.  Any
3890. flaws identified by testing must be removed.
3891.  
3892. Class (B2):  Structured Protection
3893.  
3894. In class (B2) systems, the TCB is based on a clearly defined and documented
3895. formal security policy model that requires the discretionary and mandatory
3896. access control enforcement found in class (B1) systems be extended to all
3897. subjects and objects in the ADP system.  In addition, covert channels are
3898. addressed.  The TCB must be carefully structured into protection-critical and
3899. non- protection-critical elements.  The TCB interface is well-defined and the
3900. TCB design and implementation enable it to be subjected to more thorough
3901. testing and more complete review.  Authentication mechanisms are strengthened,
3902. trusted facility management is provided in the form of support for system
3903. administrator and operator functions, and stringent configuration management
3904. controls are imposed.  The system is relatively resistant to penetration.
3905.  
3906. Class (B3):  Security Domains
3907.  
3908. The class (B3) TCB must satisfy the reference monitor requirements that it
3909. mediate all accesses of subjects to objects, be tamperproof, and be small
3910. enough to be subjected to analysis and tests.  To this end, the TCB is
3911. structured to exclude code not essential to security policy enforcement, with
3912. significant system engineering during TCB design and implementation directed
3913. toward minimizing its complexity.  A security administrator is supported,
3914. audit mechanisms are expanded to signal security- relevant events, and system
3915. recovery procedures are required.  The system is highly resistant to
3916. penetration.
3917.  
3918. Class (A1):  Verified Design
3919.  
3920. Systems in class (A1) are functionally equivalent to those in class (B3) in
3921. that no additional architectural features or policy requirements are added.
3922. The distinguishing feature of systems in this class is the analysis derived
3923. from formal design specification and verification techniques and the resulting
3924. high degree of assurance that the TCB is correctly implemented.  This
3925. assurance is developmental in nature, starting with a formal model of the
3926. security policy and a formal top-level specification (FTLS) of the design.  In
3927. keeping with the extensive design and development analysis of the TCB required
3928. of systems in class (A1), more stringent configuration management is required
3929. and procedures are established for securely distributing the system to sites.
3930. A system security administrator is supported.
3931.  
3932.  
3933.  
3934.                                   APPENDIX D
3935.  
3936.                              REQUIREMENT DIRECTORY
3937.  
3938.  
3939. This appendix lists requirements defined in "Department of Defense Trusted
3940. Computer System Evaluation Criteria" alphabetically rather than by class.  It
3941. is provided to assist in following the evolution of a requirement through the
3942. classes.  For each requirement, three types of criteria may be present.  Each
3943. will be preceded by the word: NEW, CHANGE, or ADD to indicate the following:
3944.  
3945.               NEW: Any criteria appearing in a lower class are superseded
3946.                    by the criteria that follow.
3947.  
3948.            CHANGE: The criteria that follow have appeared in a lower class
3949.                    but are changed for this class.  Highlighting is used
3950.                    to indicate the specific changes to previously stated
3951.                    criteria.
3952.  
3953.               ADD: The criteria that follow have not been required for any
3954.                    lower class, and are added in this class to the
3955.                    previously stated criteria for this requirement.
3956.  
3957. Abbreviations are used as follows:
3958.  
3959.                NR: (No Requirement) This requirement is not included in
3960.                    this class.
3961.  
3962.               NAR: (No Additional Requirements) This requirement does not
3963.                    change from the previous class.
3964.  
3965. The reader is referred to Part I of this document when placing new criteria
3966. for a requirement into the complete context for that class.
3967.  
3968. Figure 1 provides a pictorial summary of the evolution of requirements through
3969. the classes.
3970.  
3971.  
3972. Audit
3973.  
3974.      C1: NR.
3975.  
3976.      C2: NEW: The TCB shall be able to create, maintain, and protect from
3977.          modification or unauthorized access or destruction an audit trail of
3978.          accesses to the objects it protects.  The audit data shall be 
3979.          protected by the TCB so that read access to it is limited to those 
3980.          who are authorized for audit data.  The TCB shall be able to record
3981.          the following types of events:  use of identification and
3982.          authentication mechanisms, introduction of objects into a user's
3983.          address space (e.g., file open, program initiation), deletion of
3984.          objects, and actions taken by computer operators and system 
3985.          administrators and/or system security officers and other security
3986.          relevant events.  For each recorded event, the audit record shall
3987.          identify: date and time of the event, user, type of event, and success
3988.          or failure of the event.  For identification/authentication events the
3989.          origin of request (e.g., terminal ID) shall be included in the audit
3990.          record.  For events that introduce an object into a user's address
3991.          space and for object deletion events the audit record shall include
3992.          the name of the object.  The ADP system administrator shall be able to
3993.          selectively audit the actions of any one or more users based on
3994.          individual identity.
3995.  
3996.      B1: CHANGE: For events that introduce an object into a user's address
3997.          space and for object deletion events the audit record shall include
3998.          the name of the object and the object's security level.  The ADP 
3999.          system administrator shall be able to selectively audit the actions 
4000.          of any one or more users based on individual identity and/or object
4001.          security level.
4002.  
4003.          ADD: The TCB shall also be able to audit any override of
4004.          human-readable output markings.
4005.  
4006.      B2: ADD: The TCB shall be able to audit the identified events that may be
4007.          used in the exploitation of covert storage channels.
4008.  
4009.      B3: ADD: The TCB shall contain a mechanism that is able to monitor the
4010.          occurrence or accumulation of security auditable events that may 
4011.          indicate an imminent violation of security policy.  This mechanism 
4012.          shall be able to immediately notify the security administrator when
4013.          thresholds are exceeded, and, if the occurrence or accumulation of
4014.          these security relevant events continues, the system shall take the
4015.          lease disruptive action to terminate the event.
4016.  
4017.      A1: NAR.
4018.  
4019. Configuration Management
4020.  
4021.      C1: NR.
4022.  
4023.      C2: NR.
4024.  
4025.      B1: NR.
4026.  
4027.      B2: NEW: During development and maintenance of the TCB, a configuration
4028.          management system shall be in place that maintains control of changes
4029.          to the descriptive top-level specification, other design data, 
4030.          implementation documentation, source code, the running version of the
4031.          object code, and test fixtures and documentation.  The configuration
4032.          management system shall assure a consistent mapping among all
4033.          documentation and code associated with the current version of the TCB.
4034.          Tools shall be provided for generation of a new version of the TCB
4035.          from source code.  Also available shall be tools for comparing a 
4036.          newly generated version with the previous TCB version in order to
4037.          ascertain that only the intended changes have been made in the code 
4038.          that will actually be used as the new version of the TCB.
4039.  
4040.      B3: NAR.
4041.  
4042.      A1: CHANGE: During the entire life-cycle, i.e., during the design,
4043.          development, and maintenance of the TCB, a configuration management
4044.          system shall be in place for all security-relevant hardware, firmware,
4045.          and software that maintains control of changes to the formal model, 
4046.          the descriptive and formal top-level specifications, other design
4047.          data, implementation documentation, source code, the running version
4048.          of the object code, and test fixtures and documentation.  Also
4049.          available shall be tools, maintained under strict configuration
4050.          control, for comparing a newly generated version with the previous
4051.          TCB version in order to ascertain that only the intended changes have
4052.          been made in the code that will actually be used as the new version 
4053.          of the TCB.
4054.  
4055.     ADD: A combination of technical, physical, and procedural safeguards
4056.          shall be used to protect from unauthorized modification or 
4057.          destruction the master copy or copies of all material used to 
4058.          generate the TCB.
4059.  
4060. Covert Channel Analysis
4061.  
4062.      C1: NR.
4063.  
4064.      C2: NR.
4065.  
4066.      B1: NR.
4067.  
4068.      B2: NEW: The system developer shall conduct a thorough search for covert
4069.          storage channels and make a determination (either by actual 
4070.          measurement or by engineering estimation) of the maximum bandwidth of
4071.          each identified channel.  (See the Covert Channels Guideline section.)
4072.  
4073.      B3: CHANGE: The system developer shall conduct a thorough search for
4074.          covert channels and make a determination (either by actual 
4075.          measurement or by engineering estimation) of the maximum bandwidth 
4076.          of each identified channel.
4077.  
4078.      A1: ADD: Formal methods shall be used in the analysis.
4079.  
4080. Design Documentation
4081.  
4082.      C1: NEW: Documentation shall be available that provides a description of
4083.          the manufacturer's philosophy of protection and an explanation of how
4084.          this philosophy is translated into the TCB.  If the TCB is composed 
4085.          of distinct modules, the interfaces between these modules shall be 
4086.          described.
4087.  
4088.      C2: NAR.
4089.  
4090.      B1: ADD: An informal or formal description of the security policy model
4091.          enforced by the TCB shall be available and an explanation provided to
4092.          show that it is sufficient to enforce the security policy.  The 
4093.          specific TCB protection mechanisms shall be identified and an 
4094.          explanation given to show that they satisfy the model.
4095.  
4096.      B2: CHANGE: The interfaces between the TCB modules shall be described.  A
4097.          formal description of the security policy model enforced by the TCB 
4098.          shall be available and proven that it is sufficient to enforce the 
4099.          security policy.
4100.  
4101.          ADD: The descriptive top-level specification (DTLS) shall be shown to
4102.          be an accurate description of the TCB interface.  Documentation shall
4103.          describe how the TCB implements the reference monitor concept and 
4104.          give an explanation why it is tamper resistant, cannot be bypassed,
4105.          and is correctly implemented.  Documentation shall describe how the
4106.          TCB is structured to facilitate testing and to enforce least
4107.          privilege.  This documentation shall also present the results of the
4108.          covert channel analysis and the tradeoffs involved in restricting the
4109.          channels.  All auditable events that may be used in the exploitation
4110.          of known covert storage channels shall be identified.  The bandwidths
4111.          of known covert storage channels, the use of which is not detectable
4112.          by the auditing mechanisms, shall be provided.  (See the Covert 
4113.          Channel Guideline section.)
4114.  
4115.      B3: ADD: The TCB implementation (i.e., in hardware, firmware, and
4116.          software) shall be informally shown to be consistent with the DTLS.
4117.          The elements of the DTLS shall be shown, using informal techniques, 
4118.          to correspond to the elements of the TCB.
4119.  
4120.      A1: CHANGE: The TCB implementation (i.e., in hardware, firmware, and
4121.          software) shall be informally shown to be consistent with the formal
4122.          top-level specification (FTLS).  The elements of the FTLS shall be 
4123.          shown, using informal techniques, to correspond to the elements of 
4124.          the TCB.
4125.  
4126.          ADD: Hardware, firmware, and software mechanisms not dealt with in
4127.          the FTLS but strictly internal to the TCB (e.g., mapping registers,
4128.          direct memory access I/O) shall be clearly described.
4129.  
4130. Design Specification and Verification
4131.  
4132.      C1: NR.
4133.  
4134.      C2: NR.
4135.  
4136.      B1: NEW: An informal or formal model of the security policy supported by
4137.          the TCB shall be maintained over the life cycle of the ADP system that
4138.          is shown to be consistent with its axioms.
4139.  
4140.      B2: CHANGE: A formal model of the security policy supported by the TCB
4141.          shall be maintained over the life cycle of the ADP system that is
4142.          proven consistent with its axioms.
4143.  
4144.          ADD: A descriptive top-level specification (DTLS) of the TCB shall be
4145.          maintained that completely and accurately describes the TCB in terms
4146.          of exceptions, error messages, and effects.  It shall be shown to be
4147.          an accurate description of the TCB interface.
4148.  
4149.      B3: ADD: A convincing argument shall be given that the DTLS is consistent
4150.          with the model.
4151.  
4152.      A1: CHANGE: The FTLS shall be shown to be an accurate description of the
4153.          TCB interface.  A convincing argument shall be given that the DTLS is
4154.          consistent with the model and a combination of formal and informal 
4155.          techniques shall be used to show that the FTLS is consistent with the
4156.          model.
4157.  
4158.          ADD: A formal top-level specification (FTLS) of the TCB shall be
4159.          maintained that accurately describes the TCB in terms of exceptions,
4160.          error messages, and effects.  The DTLS and FTLS shall include those
4161.          components of the TCB that are implemented as hardware and/or 
4162.          firmware if their properties are visible at the TCB interface.  This
4163.          verification evidence shall be consistent with that provided within
4164.          the state-of-the-art of the particular Computer Security Center-
4165.          endorsed formal specification and verification system used.  Manual
4166.          or other mapping of the FTLS to the TCB source code shall be
4167.          performed to provide evidence of correct implementation.
4168.  
4169. Device Labels
4170.  
4171.      C1: NR.
4172.  
4173.      C2: NR.
4174.  
4175.      B1: NR.
4176.  
4177.      B2: NEW: The TCB shall support the assignment of minimum and maximum
4178.          security levels to all attached physical devices.  These security
4179.          levels shall be used by the TCB to enforce constraints imposed by 
4180.          the physical environments in which the devices are located.
4181.  
4182.      B3: NAR.
4183.  
4184.      A1: NAR.
4185.  
4186. Discretionary Access Control
4187.  
4188.      C1: NEW: The TCB shall define and control access between named users and
4189.          named objects (e.g., files and programs) in the ADP system.  The 
4190.          enforcement mechanism (e.g., self/group/public controls, access 
4191.          control lists) shall allow users to specify and control sharing of
4192.          those objects by named individuals or defined groups or both.
4193.  
4194.      C2: CHANGE: The enforcement mechanism (e.g., self/group/public controls,
4195.          access control lists) shall allow users to specify and control 
4196.          sharing of those objects by named individuals, or defined groups of
4197.          individuals, or by both, and shall provide controls to limit
4198.          propagation of access rights.
4199.  
4200.     ADD: The discretionary access control mechanism shall, either by explicit
4201.          user action or by default, provide that objects are protected from
4202.          unauthorized access.  These access controls shall be capable of 
4203.          including or excluding access to the granularity of a single user.  
4204.          Access permission to an object by users not already possessing access
4205.          permission shall only be assigned by authorized users.
4206.  
4207.      B1: NAR.
4208.  
4209.      B2: NAR.
4210.  
4211.      B3: CHANGE: The enforcement mechanism (e.g., access control lists) shall
4212.          allow users to specify and control sharing of those objects, and shall
4213.          provide controls to limit propagation of access rights.  These 
4214.          access controls shall be capable of specifying, for each named 
4215.          object, a list of named individuals and a list of groups of named 
4216.          individuals with their respective modes of access to that object.
4217.  
4218.     ADD: Furthermore, for each such named object, it shall be possible to
4219.          specify a list of named individuals and a list of groups of named 
4220.          individuals for which no access to the object is to be given.
4221.  
4222.      A1: NAR.
4223.  
4224. Exportation of Labeled Information
4225.  
4226.      C1: NR.
4227.  
4228.      C2: NR.
4229.  
4230.      B1: NEW: The TCB shall designate each communication channel and I/O
4231.          device as either single-level or multilevel.  Any change in this 
4232.          designation shall be done manually and shall be auditable by the 
4233.          TCB.  The TCB shall maintain and be able to audit any change in the
4234.          security level or levels associated with a communication channel or
4235.          I/O device.
4236.  
4237.      B2: NAR.
4238.  
4239.      B3: NAR.
4240.  
4241.      A1: NAR.
4242.  
4243. Exportation to Multilevel Devices
4244.  
4245.      C1: NR.
4246.  
4247.      C2: NR.
4248.  
4249.      B1: NEW: When the TCB exports an object to a multilevel I/O device, the
4250.          sensitivity label associated with that object shall also be exported
4251.          and shall reside on the same physical medium as the exported 
4252.          information and shall be in the same form (i.e., machine-readable or
4253.          human-readable form).  When the TCB exports or imports an object over
4254.          a multilevel communication channel, the protocol used on that channel
4255.          shall provide for the unambiguous pairing between the sensitivity
4256.          labels and the associated information that is sent or received.
4257.  
4258.      B2: NAR.
4259.  
4260.      B3: NAR.
4261.  
4262.      A1: NAR.
4263.  
4264. Exportation to Single-Level Devices
4265.  
4266.      C1: NR.
4267.  
4268.      C2: NR.
4269.  
4270.      B1: NEW: Single-level I/O devices and single-level communication channels
4271.          are not required to maintain the sensitivity labels of the 
4272.          information they process.  However, the TCB shall include a mechanism
4273.          by which the TCB and an authorized user reliably communicate to
4274.          designate the single security level of information imported or 
4275.          exported via single-level communication channels or I/O devices.
4276.  
4277.      B2: NAR.
4278.  
4279.      B3: NAR.
4280.  
4281.      A1: NAR.
4282.  
4283. Identification and Authentication
4284.  
4285.      C1: NEW: The TCB shall require users to identify themselves to it before
4286.          beginning to perform any other actions that the TCB is expected to 
4287.          mediate.  Furthermore, the TCB shall use a protected mechanism (e.g.,
4288.          passwords) to authenticate the user's identity.  The TCB shall 
4289.          protect authentication data so that it cannot be accessed by any 
4290.          unauthorized user.
4291.  
4292.      C2: ADD: The TCB shall be able to enforce individual accountability by
4293.          providing the capability to uniquely identify each individual ADP 
4294.          system user.  The TCB shall also provide the capability of 
4295.          associating this identity with all auditable actions taken by that 
4296.          individual.
4297.  
4298.      B1: CHANGE: Furthermore, the TCB shall maintain authentication data that
4299.          includes information for verifying the identity of individual users
4300.          (e.g., passwords) as well as information for determining the 
4301.          clearance and authorizations of individual users.  This data shall be
4302.          used by the TCB to authenticate the user's identity and to ensure
4303.          that the security level and authorizations of subjects external to
4304.          the TCB that may be created to act on behalf of the individual user
4305.          are dominated by the clearance and authorization of that user.
4306.  
4307.  
4308.      B2: NAR.
4309.  
4310.      B3: NAR.
4311.  
4312.      A1: NAR.
4313.  
4314. Label Integrity
4315.  
4316.      C1: NR.
4317.  
4318.      C2: NR.
4319.  
4320.      B1: NEW: Sensitivity labels shall accurately represent security levels of
4321.          the specific subjects or objects with which they are associated.  When
4322.          exported by the TCB, sensitivity labels shall accurately and 
4323.          unambiguously represent the internal labels and shall be associated 
4324.          with the information being exported.
4325.  
4326.      B2: NAR.
4327.  
4328.      B3: NAR.
4329.  
4330.      A1: NAR.
4331.  
4332. Labeling Human-Readable Output
4333.  
4334.      C1: NR.
4335.  
4336.      C2: NR.
4337.  
4338.      B1: NEW: The ADP system administrator shall be able to specify the
4339.          printable label names associated with exported sensitivity labels.
4340.          The TCB shall mark the beginning and end of all human-readable, 
4341.          paged, hardcopy output (e.g., line printer output) with human-
4342.          readable sensitivity labels that properly* represent the sensitivity
4343.          of the output.  The TCB shall, by default, mark the top and bottom of
4344.          each page of human-readable, paged, hardcopy output (e.g., line
4345.          printer output) with human-readable sensitivity labels that
4346.          properly* represent the overall sensitivity of the output or that 
4347.          properly* represent the sensitivity of the information on the page.
4348.          The TCB shall, by default and in an appropriate manner, mark other 
4349.          forms of human-readable output (e.g., maps, graphics) with human-
4350.          readable sensitivity labels that properly* represent the sensitivity
4351.          of the output.  Any override of these marking defaults shall be
4352.          auditable by the TCB.
4353.  
4354.      B2: NAR.
4355.  
4356.      B3: NAR.
4357.  
4358.      A1: NAR.
4359.  
4360. ______________________________
4361. * The hierarchical classification component in human-readable sensitivity
4362. labels shall be equal to the greatest hierarchical classification of any of the
4363. information in the output that the labels refer to;  the non-hierarchical
4364. category component shall include all of the non-hierarchical categories of the
4365. information in the output the labels refer to, but no other non-hierarchical
4366. categories.
4367.  
4368. Labels
4369.  
4370.      C1: NR.
4371.  
4372.      C2: NR.
4373.  
4374.      B1: NEW: Sensitivity labels associated with each subject and storage
4375.          object under its control (e.g., process, file, segment, device) shall
4376.          be maintained by the TCB.  These labels shall be used as the basis 
4377.          for mandatory access control decisions.  In order to import non-
4378.          labeled data, the TCB shall request and receive from an authorized 
4379.          user the security level of the data, and all such actions shall be
4380.          auditable by the TCB.
4381.  
4382.      B2: CHANGE: Sensitivity labels associated with each ADP system resource
4383.          (e.g., subject, storage object, ROM) that is directly or indirectly 
4384.          accessible by subjects external to the TCB shall be maintained by 
4385.          the TCB.
4386.  
4387.      B3: NAR.
4388.  
4389.      A1: NAR.
4390.  
4391. Mandatory Access Control
4392.  
4393.      C1: NR.
4394.  
4395.      C2: NR.
4396.  
4397.      B1: NEW: The TCB shall enforce a mandatory access control policy over all
4398.          subjects and storage objects under its control (e.g., processes, 
4399.          files, segments, devices).  These subjects and objects shall be 
4400.          assigned sensitivity labels that are a combination of hierarchical 
4401.          classification levels and non-hierarchical categories, and the labels
4402.          shall be used as the basis for mandatory access control decisions.
4403.          The TCB shall be able to support two or more such security levels.
4404.          (See the Mandatory Access Control guidelines.)  The following
4405.          requirements shall hold for all accesses between subjects and objects
4406.          controlled by the TCB: A subject can read an object only if the
4407.          hierarchical classification in the subject's security level is 
4408.          greater than or equal to the hierarchical classification in the 
4409.          object's security level and the non-hierarchical categories in the
4410.          subject's security level include all the non-hierarchical categories
4411.          in the object's security level.  A subject can write an object only
4412.          if the hierarchical classification in the subject's security level is
4413.          less than or equal to the hierarchical classification in the object's
4414.          security level and all the non-hierarchical categories in the 
4415.          subject's security level are included in the non-hierarchical 
4416.          categories in the object's security level.  Identification and
4417.          authentication data shall be used by the TCB to authenticate the 
4418.          user's identity and to ensure that the security level and authori-
4419.          zation of subjects external to the TCB that may be created to act
4420.          on behalf of the individual user are dominated by the clearance and
4421.          authorization of that user.
4422.  
4423.      B2: CHANGE: The TCB shall enforce a mandatory access control policy over
4424.          all resources (i.e., subjects, storage objects, and I/O devices) that
4425.          are directly or indirectly accessible by subjects external to the TCB.
4426.          The following requirements shall hold for all accesses between all
4427.          subjects external to the TCB and all objects directly or indirectly 
4428.          accessible by these subjects:
4429.  
4430.      B3: NAR.
4431.  
4432.      A1: NAR.
4433.  
4434. Object Reuse
4435.  
4436.      C1: NR.
4437.  
4438.      C2: NEW: All authorizations to the information contained within a 
4439.          storage object shall be revoked prior to initial assignment,
4440.          allocation or reallocation to a subject from the TCB's pool of
4441.          unused storage objects.  No information, including encrypted
4442.          representations of information, produced by a prior subject's
4443.          actions is to be available to any subject that obtains access to
4444.          an object that has been released back to the system.
4445.  
4446.      B1: NAR.
4447.  
4448.      B2: NAR.
4449.  
4450.      B3: NAR.
4451.  
4452.      A1: NAR.
4453.  
4454. Security Features User's Guide
4455.  
4456.      C1: NEW: A single summary, chapter, or manual in user documentation shall
4457.          describe the protection mechanisms provided by the TCB, guidelines on
4458.          their use, and how they interact with one another.
4459.  
4460.      C2: NAR.
4461.  
4462.      B1: NAR.
4463.  
4464.      B2: NAR.
4465.  
4466.      B3: NAR.
4467.  
4468.      A1: NAR.
4469.  
4470. Security Testing
4471.  
4472.      C1: NEW: The security mechanisms of the ADP system shall be tested and
4473.          found to work as claimed in the system documentation.  Testing shall 
4474.          be done to assure that there are no obvious ways for an unauthorized
4475.          user to bypass or otherwise defeat the security protection mechanisms
4476.          of the TCB.  (See the Security Testing guidelines.)
4477.  
4478.      C2: ADD: Testing shall also include a search for obvious flaws that would
4479.          allow violation of resource isolation, or that would permit 
4480.          unauthorized access to the audit or authentication data.
4481.  
4482.      B1: NEW: The security mechanisms of the ADP system shall be tested and
4483.          found to work as claimed in the system documentation.  A team of 
4484.          individuals who thoroughly understand the specific implementation of
4485.          the TCB shall subject its design documentation, source code, and 
4486.          object code to thorough analysis and testing.  Their objectives shall
4487.          be: to uncover all design and implementation flaws that would permit
4488.          a subject external to the TCB to read, change, or delete data
4489.          normally denied under the mandatory or discretionary security policy 
4490.          enforced by the TCB; as well as to assure that no subject (without
4491.          authorization to do so) is able to cause the TCB to enter a state
4492.          such that it is unable to respond to communications initiated by 
4493.          other users.  All discovered flaws shall be removed or neutralized 
4494.          and the TCB retested to demonstrate that they have been eliminated 
4495.          and that new flaws have not been introduced.  (See the Security 
4496.          Testing Guidelines.)
4497.  
4498.      B2: CHANGE: All discovered flaws shall be corrected and the TCB retested
4499.          to demonstrate that they have been eliminated and that new flaws have
4500.          not been introduced.
4501.  
4502.          ADD: The TCB shall be found relatively resistant to penetration.
4503.          Testing shall demonstrate that the TCB implementation is consistent 
4504.          with the descriptive top-level specification.
4505.  
4506.      B3: CHANGE: The TCB shall be found resistant to penetration.
4507.  
4508.          ADD: No design flaws and no more than a few correctable
4509.          implementation flaws may be found during testing and there shall be 
4510.          reasonable confidence that few remain.
4511.  
4512.      A1: CHANGE: Testing shall demonstrate that the TCB implementation is
4513.          consistent with the formal top-level specification.
4514.  
4515.          ADD: Manual or other mapping of the FTLS to the source code may form
4516.          a basis for penetration testing.
4517.  
4518. Subject Sensitivity Labels
4519.  
4520.      C1: NR.
4521.  
4522.      C2: NR.
4523.  
4524.      B1: NR.
4525.  
4526.      B2: NEW: The TCB shall immediately notify a terminal user of each change
4527.          in the security level associated with that user during an interactive
4528.          session.  A terminal user shall be able to query the TCB as desired 
4529.          for a display of the subject's complete sensitivity label.
4530.  
4531.      B3: NAR.
4532.  
4533.      A1: NAR.
4534.  
4535. System Architecture
4536.  
4537.      C1: NEW: The TCB shall maintain a domain for its own execution that
4538.          protects it from external interference or tampering (e.g., by 
4539.          modification of its code or data structures).  Resources controlled 
4540.          by the TCB may be a defined subset of the subjects and objects in 
4541.          the ADP system.
4542.  
4543.      C2: ADD: The TCB shall isolate the resources to be protected so that they
4544.          are subject to the access control and auditing requirements.
4545.  
4546.      B1: ADD: The TCB shall maintain process isolation through the provision
4547.          of distinct address spaces under its control.
4548.  
4549.      B2: NEW: The TCB shall maintain a domain for its own execution that
4550.          protects it from external interference or tampering (e.g., by 
4551.          modification of its code or data structures).  The TCB shall maintain
4552.          process isolation through the provision of distinct address spaces 
4553.          under its control.  The TCB shall be internally structured into well-
4554.          defined largely independent modules.  It shall make effective use of
4555.          available hardware to separate those elements that are protection-
4556.          critical from those that are not.  The TCB modules shall be designed
4557.          such that the principle of least privilege is enforced.  Features in
4558.          hardware, such as segmentation, shall be used to support logically 
4559.          distinct storage objects with separate attributes (namely: readable, 
4560.          writeable).  The user interface to the TCB shall be completely 
4561.          defined and all elements of the TCB identified.
4562.  
4563.      B3: ADD: The TCB shall be designed and structured to use a complete,
4564.          conceptually simple protection mechanism with precisely defined 
4565.          semantics.  This mechanism shall play a central role in enforcing the
4566.          internal structuring of the TCB and the system.  The TCB shall
4567.          incorporate significant use of layering, abstraction and data hiding.
4568.          Significant system engineering shall be directed toward minimizing
4569.          the complexity of the TCB and excluding from the TCB modules that are
4570.          not protection-critical.
4571.  
4572.      A1: NAR.
4573.  
4574. System Integrity
4575.  
4576.      C1: NEW: Hardware and/or software features shall be provided that can be
4577.          used to periodically validate the correct operation of the on-site 
4578.          hardware and firmware elements of the TCB.
4579.  
4580.      C2: NAR.
4581.  
4582.      B1: NAR.
4583.  
4584.      B2: NAR.
4585.  
4586.      B3: NAR.
4587.  
4588.      A1: NAR.
4589.  
4590. Test Documentation
4591.  
4592.      C1: NEW: The system developer shall provide to the evaluators a document
4593.          that describes the test plan, test procedures that show how the
4594.          security mechanisms were tested and results of the security
4595.          mechanisms' functional testing.
4596.  
4597.      C2: NAR.
4598.  
4599.      B1: NAR.
4600.  
4601.      B2: ADD: It shall include results of testing the effectiveness of the
4602.          methods used to reduce covert channel bandwidths.
4603.  
4604.      B3: NAR.
4605.  
4606.      A1: ADD: The results of the mapping between the formal top-level
4607.          specification and the TCB source code shall be given.
4608.  
4609. Trusted Distribution
4610.  
4611.      C1: NR.
4612.  
4613.      C2: NR.
4614.  
4615.      B1: NR.
4616.  
4617.      B2: NR.
4618.  
4619.      B3: NR.
4620.  
4621.      A1: NEW: A trusted ADP system control and distribution facility shall be
4622.          provided for maintaining the integrity of the mapping between the 
4623.          master data describing the current version of the TCB and the on-site
4624.          master copy of the code for the current version.  Procedures (e.g.,
4625.          site security acceptance testing) shall exist for assuring that the
4626.          TCB software, firmware, and hardware updates distributed to a
4627.          customer are exactly as specified by the master copies.
4628.  
4629. Trusted Facility Management
4630.  
4631.      C1: NR.
4632.  
4633.      C2: NR.
4634.  
4635.      B1: NR.
4636.  
4637.      B2: NEW: The TCB shall support separate operator and administrator
4638.          functions.
4639.  
4640.      B3: ADD: The functions performed in the role of a security administrator
4641.          shall be identified.  The ADP system administrative personnel shall 
4642.          only be able to perform security administrator functions after taking
4643.          a distinct auditable action to assume the security administrator role
4644.          on the ADP system.  Non-security functions that can be performed in
4645.          the security administration role shall be limited strictly to those
4646.          essential to performing the security role effectively.
4647.  
4648.      A1: NAR.
4649.  
4650. Trusted Facility Manual
4651.  
4652.      C1: NEW: A manual addressed to the ADP system administrator shall present
4653.          cautions about functions and privileges that should be controlled 
4654.          when running a secure facility.
4655.  
4656.      C2: ADD: The procedures for examining and maintaining the audit files as
4657.          well as the detailed audit record structure for each type of audit 
4658.          event shall be given.
4659.  
4660.      B1: ADD: The manual shall describe the operator and administrator
4661.          functions related to security, to include changing the 
4662.          characteristics of a user.  It shall provide guidelines on the 
4663.          consistent and effective use of the protection features of the
4664.          system, how they interact, how to securely generate a new TCB, and
4665.          facility procedures, warnings, and privileges that need to be
4666.          controlled in order to operate the facility in a secure manner.
4667.  
4668.      B2: ADD: The TCB modules that contain the reference validation mechanism
4669.          shall be identified.  The procedures for secure generation of a new 
4670.          TCB from source after modification of any modules in the TCB shall 
4671.          be described.
4672.  
4673.      B3: ADD: It shall include the procedures to ensure that the system is
4674.          initially started in a secure manner.  Procedures shall also be 
4675.          included to resume secure system operation after any lapse in system
4676.          operation.
4677.  
4678.      A1: NAR.
4679.  
4680. Trusted Path
4681.  
4682.      C1: NR.
4683.  
4684.      C2: NR.
4685.  
4686.      B1: NR.
4687.  
4688.      B2: NEW: The TCB shall support a trusted communication path between
4689.          itself and user for initial login and authentication.  Communications
4690.          via this path shall be initiated exclusively by a user.
4691.  
4692.      B3: CHANGE: The TCB shall support a trusted communication path between
4693.          itself and users for use when a positive TCB-to-user connection is 
4694.          required (e.g., login, change subject security level).  
4695.          Communications via this trusted path shall be activated exclusively
4696.          by a user or the TCB and shall be logically isolated and unmistakably
4697.          distinguishable from other paths.
4698.  
4699.      A1: NAR.
4700.  
4701. Trusted Recovery
4702.  
4703.      C1: NR.
4704.  
4705.      C2: NR.
4706.  
4707.      B1: NR.
4708.  
4709.      B2: NR.
4710.  
4711.      B3: NEW: Procedures and/or mechanisms shall be provided to assure that,
4712.          after an ADP system failure or other discontinuity, recovery without a
4713.          protection compromise is obtained.
4714.  
4715.      A1: NAR.
4716.  
4717.  
4718.  
4719.  
4720.  
4721.     (this page is reserved for Figure 1)
4722.  
4723.  
4724.  
4725.                                    GLOSSARY
4726.  
4727.  
4728. Access - A specific type of interaction between a subject and an object 
4729.      that results in the flow of information from one to the other.
4730.  
4731. Approval/Accreditation - The official authorization that is
4732.      granted to an ADP system to process sensitive information in
4733.      its operational environment, based upon comprehensive
4734.      security evaluation of the system's hardware, firmware, and
4735.      software security design, configuration, and implementation
4736.      and of the other system procedural, administrative,
4737.      physical, TEMPEST, personnel, and communications security
4738.      controls.
4739.  
4740. Audit Trail - A set of records that collectively provide
4741.      documentary evidence of processing used to aid in tracing
4742.      from original transactions forward to related records and
4743.      reports, and/or backwards from records and reports to their
4744.      component source transactions.
4745.  
4746. Authenticate - To establish the validity of a claimed identity.
4747.  
4748. Automatic Data Processing (ADP) System - An assembly of computer
4749.      hardware, firmware, and software configured for the purpose
4750.      of classifying, sorting, calculating, computing,
4751.      summarizing, transmitting and receiving, storing, and
4752.      retrieving data with a minimum of human intervention.
4753.  
4754. Bandwidth - A characteristic of a communication channel that is
4755.      the amount of information that can be passed through it in a
4756.      given amount of time, usually expressed in bits per second.
4757.  
4758. Bell-LaPadula Model - A formal state transition model of computer
4759.      security policy that describes a set of access control
4760.      rules.  In this formal model, the entities in a computer
4761.      system are divided into abstract sets of subjects and
4762.      objects.  The notion of a secure state is defined and it is
4763.      proven that each state transition preserves security by
4764.      moving from secure state to secure state; thus, inductively
4765.      proving that the system is secure.  A system state is
4766.      defined to be "secure" if the only permitted access modes of
4767.      subjects to objects are in accordance with a specific
4768.      security policy.  In order to determine whether or not a
4769.      specific access mode is allowed, the clearance of a subject
4770.      is compared to the classification of the object and a
4771.      determination is made as to whether the subject is
4772.      authorized for the specific access mode.  The
4773.      clearance/classification scheme is expressed in terms of a
4774.      lattice.  See also: Lattice, Simple Security Property, *-
4775.      Property.
4776.  
4777. Certification - The technical evaluation of a system's security
4778.      features, made as part of and in support of the
4779.      approval/accreditation process, that establishes the extent
4780.      to which a particular computer system's design and
4781.      implementation meet a set of specified security
4782.      requirements.
4783.  
4784. Channel - An information transfer path within a system.  May also
4785.      refer to the mechanism by which the path is effected.
4786.  
4787. Covert Channel - A communication channel that allows a process to
4788.      transfer information in a manner that violates the system's
4789.      security policy.  See also:  Covert Storage Channel, Covert
4790.      Timing Channel.
4791.  
4792. Covert Storage Channel - A covert channel that involves the
4793.      direct or indirect writing of a storage location by one
4794.      process and the direct or indirect reading of the storage
4795.      location by another process.  Covert storage channels
4796.      typically involve a finite resource (e.g., sectors on a
4797.      disk) that is shared by two subjects at different security
4798.      levels.
4799.  
4800. Covert Timing Channel - A covert channel in which one process
4801.      signals information to another by modulating its own use of
4802.      system resources (e.g., CPU time) in such a way that this
4803.      manipulation affects the real response time observed by the
4804.      second process.
4805.  
4806. Data - Information with a specific physical representation.
4807.  
4808. Data Integrity - The state that exists when computerized data is
4809.      the same as that in the source documents and has not been
4810.      exposed to accidental or malicious alteration or
4811.      destruction.
4812.  
4813. Descriptive Top-Level Specification (DTLS) - A top-level
4814.      specification that is written in a natural language (e.g.,
4815.      English), an informal program design notation, or a
4816.      combination of the two.
4817.  
4818. Discretionary Access Control - A means of restricting access to
4819.      objects based on the identity of subjects and/or groups to
4820.      which they belong.  The controls are discretionary in the
4821.      sense that a subject with a certain access permission is
4822.      capable of passing that permission (perhaps indirectly) on
4823.      to any other subject (unless restrained by mandatory access
4824.      control).
4825.  
4826. Domain - The set of objects that a subject has the ability to
4827.      access.
4828.  
4829. Dominate - Security level S1 is said to dominate security level
4830.      S2 if the hierarchical classification of S1 is greater than
4831.      or equal to that of S2 and the non-hierarchical categories
4832.      of S1 include all those of S2 as a subset.
4833.  
4834. Exploitable Channel - Any channel that is useable or detectable
4835.      by subjects external to the Trusted Computing Base.
4836.  
4837. Flaw Hypothesis Methodology - A system analysis and penetration
4838.      technique where specifications and documentation for the
4839.      system are analyzed and then flaws in the system are
4840.      hypothesized.  The list of hypothesized flaws is then
4841.      prioritized on the basis of the estimated probability that a
4842.      flaw actually exists and, assuming a flaw does exist, on the
4843.      ease of exploiting it and on the extent of control or
4844.      compromise it would provide.  The prioritized list is used
4845.      to direct the actual testing of the system.
4846.  
4847. Flaw - An error of commission, omission, or oversight in a system
4848.      that allows protection mechanisms to be bypassed.
4849.  
4850. Formal Proof - A complete and convincing mathematical argument,
4851.      presenting the full logical justification for each proof
4852.      step, for the truth of a theorem or set of theorems.  The
4853.      formal verification process uses formal proofs to show the
4854.      truth of certain properties of formal specification and for
4855.      showing that computer programs satisfy their specifications.
4856.  
4857. Formal Security Policy Model - A mathematically precise statement
4858.      of a security policy.  To be adequately precise, such a
4859.      model must represent the initial state of a system, the way
4860.      in which the system progresses from one state to another,
4861.      and a definition of a "secure" state of the system.  To be
4862.      acceptable as a basis for a TCB, the model must be supported
4863.      by a formal proof that if the initial state of the system
4864.      satisfies the definition of a "secure" state and if all
4865.      assumptions required by the model hold, then all future
4866.      states of the system will be secure.  Some formal modeling
4867.      techniques include:  state transition models, temporal logic
4868.      models, denotational semantics models, algebraic
4869.      specification models.  An example is the model described by
4870.      Bell and LaPadula in reference [2].  See also:  Bell-
4871.      LaPadula Model, Security Policy Model.
4872.  
4873. Formal Top-Level Specification (FTLS) - A Top-Level Specification
4874.      that is written in a formal mathematical language to allow
4875.      theorems showing the correspondence of the system
4876.      specification to its formal requirements to be hypothesized
4877.      and formally proven.
4878.  
4879. Formal Verification - The process of using formal proofs to
4880.      demonstrate the consistency (design verification) between a
4881.      formal specification of a system and a formal security
4882.      policy model or (implementation verification) between the
4883.      formal specification and its program implementation.
4884.  
4885. Front-End Security Filter - A process that is invoked to process
4886.      data accordint to a specified security policy prior to
4887.      releasing the data outside the processing environment or
4888.      upon receiving data from an external source.
4889.  
4890. Functional Testing - The portion of security testing in which the
4891.      advertised features of a system are tested for correct
4892.      operation.
4893.  
4894. General-Purpose System - A computer system that is designed to
4895.      aid in solving a wide variety of problems.
4896.  
4897. Granularity - The relative fineness or coarseness by which a
4898.      mechanism can be adjusted.  The phrase "the granularity of
4899.      a single user" means the access control mechanism can be
4900.      adjusted to include or exclude any single user.
4901.  
4902. Lattice - A partially ordered set for which every pair of
4903.      elements has a greatest lower bound and a least upper bound.
4904.  
4905. Least Privilege - This principle requires that each subject in a
4906.      system be granted the most restrictive set of privileges (or
4907.      lowest clearance) needed for the performance of authorized
4908.      tasks.  The application of this principle limits the damage
4909.      that can result from accident, error, or unauthorized use.
4910.  
4911. Mandatory Access Control - A means of restricting access to
4912.      objects based on the sensitivity (as represented by a label)
4913.      of the information contained in the objects and the formal
4914.      authorization (i.e., clearance) of subjects to access
4915.      information of such sensitivity.
4916.  
4917. Multilevel Device - A device that is used in a manner that
4918.      permits it to simultaneously process data of two or more
4919.      security levels without risk of compromise.  To accomplish
4920.      this, sensitivity labels are normally stored on the same
4921.      physical medium and in the same form (i.e., machine-readable
4922.      or human-readable) as the data being processed.
4923.  
4924. Multilevel Secure - A class of system containing information with
4925.      different sensitivities that simultaneously permits access
4926.      by users with different security clearances and needs-to-
4927.      know, but prevents users from obtaining access to
4928.      information for which they lack authorization.
4929.  
4930. Object - A passive entity that contains or receives information.
4931.      Access to an object potentially implies access to the
4932.      information it contains.  Examples of objects are:  records,
4933.      blocks, pages, segments, files, directories, directory
4934.      trees, and programs, as well as bits, bytes, words, fields,
4935.      processors, video displays, keyboards, clocks, printers,
4936.      network nodes, etc.
4937.  
4938. Object Reuse - The reassignment to some subject of a medium
4939.      (e.g., page frame, disk sector, magnetic tape) that
4940.      contained one or more objects.  To be securely reassigned,
4941.      such media must contain no residual data from the previously
4942.      contained object(s).
4943.  
4944. Output - Information that has been exported by a TCB.
4945.  
4946. Password - A private character string that is used to
4947.      authenticate an identity.
4948.  
4949. Penetration Testing - The portion of security testing in which
4950.      the penetrators attempt to circumvent the security features
4951.      of a system.  The penetrators may be assumed to use all
4952.      system design and implementation documentation, which may
4953.      include listings of system source code, manuals, and circuit
4954.      diagrams.  The penetrators work under no constraints other
4955.      than those that would be applied to ordinary users.
4956.  
4957. Process - A program in execution.  It is completely characterized
4958.      by a single current execution point (represented by the
4959.      machine state) and address space.
4960.  
4961. Protection-Critical Portions of the TCB - Those portions of the
4962.      TCB whose normal function is to deal with the control of
4963.      access between subjects and objects.
4964.  
4965. Protection Philosophy - An informal description of the overall
4966.      design of a system that delineates each of the protection
4967.      mechanisms employed.  A combination (appropriate to the
4968.      evaluation class) of formal and informal techniques is used
4969.      to show that the mechanisms are adequate to enforce the
4970.      security policy.
4971.  
4972. Read - A fundamental operation that results only in the flow of
4973.      information from an object to a subject.
4974.  
4975. Read Access - Permission to read information.
4976.  
4977. Read-Only Memory (ROM) - A storage area in which the contents can
4978.      be read but not altered during normal computer processing.
4979.  
4980. Reference Monitor Concept - An access control concept that refers
4981.      to an abstract machine that mediates all accesses to objects
4982.      by subjects.
4983.  
4984. Resource - Anything used or consumed while performing a function.
4985.      The categories of resources are: time, information, objects
4986.      (information containers), or processors (the ability to use
4987.      information).  Specific examples are: CPU time; terminal
4988.      connect time; amount of directly-addressable memory; disk
4989.      space; number of I/O requests per minute, etc.
4990.  
4991. Security Kernel - The hardware, firmware, and software elements
4992.      of a Trusted Computing Base that implement the reference
4993.      monitor concept.  It must mediate all accesses, be protected
4994.      from modification, and be verifiable as correct.
4995.  
4996. Security Level - The combination of a hierarchical classification
4997.      and a set of non-hierarchical categories that represents the
4998.      sensitivity of information.
4999.  
5000. Security Policy - The set of laws, rules, and practices that
5001.      regulate how an organization manages, protects, and
5002.      distributes sensitive information.
5003.  
5004. Security Policy Model - An informal presentation of a formal
5005.      security policy model.
5006.  
5007. Security Relevant Event - Any event that attempts to change the
5008.      security state of the system, (e.g., change discretionary
5009.      access controls, change the security level of the subject,
5010.      change user password, etc.).  Also, any event that attempts
5011.      to violate the security policy of the system, (e.g., too
5012.      many attempts to login, attempts to violate the mandatory
5013.      access control limits of a defice, attempts to downgrade a 
5014.      file, etc.).
5015.  
5016. Security Testing - A process used to determine that the security
5017.      features of a system are implemented as designed and that
5018.      they are adequate for a proposed application environment.
5019.      This process includes hands-on functional testing,
5020.      penetration testing, and verification.  See also: Functional
5021.      Testing, Penetration Testing, Verification.
5022.  
5023. Sensitive Information - Information that, as determined by a
5024.      competent authority, must be protected because its
5025.      unauthorized disclosure, alteration, loss, or destruction
5026.      will at least cause perceivable damage to someone or
5027.      something.
5028.  
5029. Sensitivity Label - A piece of information that represents the
5030.      security level of an object and that describes the
5031.      sensitivity (e.g., classification) of the data in the
5032.      object.   Sensitivity labels are used by the TCB as the basis
5033.      for mandatory access control decisions.
5034.  
5035. Simple Security Condition - A Bell-LaPadula security model rule
5036.      allowing a subject read access to an object only if the
5037.      security level of the subject dominates the security level
5038.      of the object.
5039.  
5040. Single-Level Device - A device that is used to process data of a
5041.      single security level at any one time.  Since the device
5042.      need not be trusted to separate data of different security
5043.      levels, sensitivity labels do not have to be stored with the
5044.      data being processed.
5045.  
5046. *-Property (Star Property) - A Bell-LaPadula security model rule
5047.      allowing a subject write access to an object only if the
5048.      security level of the subject is dominated by the security
5049.      level of the object.  Also known as the Confinement
5050.      Property.
5051.  
5052. Storage Object - An object that supports both read and write
5053.      accesses.
5054.  
5055. Subject - An active entity, generally in the form of a person,
5056.      process, or device that causes information to flow among
5057.      objects or changes the system state.  Technically, a
5058.      process/domain pair.
5059.  
5060. Subject Security Level - A subject's security level is equal to
5061.      the security level of the objects to which it has both read
5062.      and write access.  A subject's security level must always be
5063.      dominated by the clearance of the user the subject is
5064.      associated with.
5065.  
5066. TEMPEST - The study and control of spurious electronic signals
5067.      emitted from ADP equipment.
5068.  
5069. Top-Level Specification (TLS) - A non-procedural description of
5070.      system behavior at the most abstract level.  Typically a
5071.      functional specification that omits all implementation
5072.      details.
5073.  
5074. Trap Door - A hidden software or hardware mechanism that permits
5075.      system protection mechanisms to be circumvented.  It is
5076.      activated in some non-apparent manner (e.g., special
5077.      "random" key sequence at a terminal).
5078.  
5079. Trojan Horse - A computer program with an apparently or actually
5080.      useful function that contains additional (hidden) functions
5081.      that surreptitiously exploit the legitimate authorizations
5082.      of the invoking process to the detriment of security.  For
5083.      example, making a "blind copy" of a sensitive file for the
5084.      creator of the Trojan Horse.
5085.  
5086. Trusted Computer System - A system that employs sufficient
5087.      hardware and software integrity measures to allow its use
5088.      for processing simultaneously a range of sensitive or
5089.      classified information.
5090.  
5091. Trusted Computing Base (TCB) - The totality of protection
5092.      mechanisms within a computer system -- including hardware,
5093.      firmware, and software -- the combination of which is
5094.      responsible for enforcing a security policy.  A TCB consists
5095.      of one or more components that together enforce a unified
5096.      security policy over a product or system.  The ability of
5097.      a trusted computing base to correctly enforce a
5098.      security policy depends solely on the mechanisms within the
5099.      TCB and on the correct input by system administrative
5100.      personnel of parameters (e.g., a user's clearance) related
5101.      to the security policy.
5102.  
5103. Trusted Path - A mechanism by which a person at a terminal can
5104.      communicate directly with the Trusted Computing Base.  This
5105.      mechanism can only be activated by the person or the Trusted
5106.      Computing Base and cannot be imitated by untrusted software.
5107.  
5108. Trusted Software - The software portion of a Trusted Computing
5109.      Base.
5110.  
5111. User - Any person who interacts directly with a computer system.
5112.  
5113. Verification - The process of comparing two levels of system
5114.      specification for proper correspondence (e.g., security
5115.      policy model with top-level specification, TLS with source
5116.      code, or source code with object code).  This process may or
5117.      may not be automated.
5118.  
5119. Write - A fundamental operation that results only in the flow of
5120.      information from a subject to an object.
5121.  
5122. Write Access - Permission to write an object.
5123.  
5124.  
5125.                                   REFERENCES
5126.  
5127.  
5128. 1.  Anderson, J. P.  Computer Security Technology Planning
5129.          Study, ESD-TR-73-51, vol. I, ESD/AFSC, Hanscom AFB,
5130.          Bedford, Mass., October 1972 (NTIS AD-758 206).
5131.  
5132. 2.  Bell, D. E. and LaPadula, L. J.  Secure Computer Systems:
5133.          Unified Exposition and Multics Interpretation, MTR-2997
5134.          Rev. 1, MITRE Corp., Bedford, Mass., March 1976.
5135.  
5136. 3.  Brand, S. L.  "An Approach to Identification and Audit of
5137.          Vulnerabilities and Control in Application Systems," in
5138.          Audit and Evaluation of Computer Security II: System
5139.          Vulnerabilities and Controls, Z. Ruthberg, ed., NBS
5140.          Special Publication #500-57, MD78733, April 1980.
5141.  
5142. 4.  Brand, S. L.  "Data Processing and A-123," in Proceedings of
5143.          the Computer Performance Evaluation User's Group 18th
5144.          Meeting, C. B. Wilson, ed., NBS Special Publication
5145.          #500-95, October 1982.
5146.  
5147. 5.  DCID l/l6, Security of Foreign Intelligence in Automated Data
5148.          Processing Systems and Networks (U), 4 January l983.
5149.  
5150. 6.  DIAM 50-4, Security of Compartmented Computer Operations (U), 
5151.          24 June l980.
5152.  
5153. 7.  Denning, D. E.  "A Lattice Model of Secure Information
5154.          Flow," in Communications of the ACM, vol. 19, no. 5
5155.          (May 1976), pp. 236-243.
5156.  
5157. 8.  Denning, D. E.  Secure Information Flow in Computer Systems,
5158.          Ph.D. dissertation, Purdue Univ., West Lafayette, Ind.,
5159.          May 1975.
5160.  
5161. 9.  DoD Directive 5000.29, Management of Computer Resources in Major
5162.          Defense Systems, 26 April l976.
5163.  
5164. 10.  DoD 5200.1-R, Information Security Program Regulation,
5165.          August 1982.
5166.  
5167. 11.  DoD Directive 5200.28, Security Requirements for Automatic
5168.          Data Processing (ADP) Systems, revised April 1978.
5169.  
5170. 12.  DoD 5200.28-M, ADP Security Manual -- Techniques and
5171.          Procedures for Implementing, Deactivating, Testing, and
5172.          Evaluating Secure Resource-Sharing ADP Systems, revised
5173.          June 1979.
5174.  
5175. 13. DoD Directive 5215.1, Computer Security Evaluation Center,
5176.          25 October 1982.
5177.  
5178. 14. DoD 5220.22-M, Industrial Security Manual for Safeguarding
5179.          Classified Information, March 1984.
5180.  
5181. 15. DoD 5220.22-R, Industrial Security Regulation, February 1984.
5182.  
5183. 16. DoD Directive 5400.11, Department of Defense Privacy
5184.          Program, 9 June 1982.
5185.  
5186. 17. DoD Directive 7920.1, Life Cycle Management of Automated
5187.          Information Systems (AIS), 17 October 1978
5188.  
5189. 18. Executive Order 12356, National Security Information,
5190.          6 April 1982.
5191.  
5192. 19. Faurer, L. D.  "Keeping the Secrets Secret," in Government
5193.          Data Systems, November - December 1981, pp. 14-17.
5194.  
5195. 20. Federal Information Processing Standards Publication (FIPS
5196.          PUB) 39, Glossary for Computer Systems Security,
5197.          15 February 1976.
5198.  
5199. 21. Federal Information Processing Standards Publication (FIPS
5200.          PUB) 73, Guidelines for Security of Computer
5201.          Applications, 30 June 1980.
5202.  
5203. 22. Federal Information Processing Standards Publication (FIPS
5204.          PUB) 102, Guideline for Computer Security Certification
5205.          and Accreditation.
5206.  
5207. 23. Lampson, B. W.  "A Note on the Confinement Problem," in
5208.          Communications of the ACM, vol. 16, no. 10 (October
5209.          1973), pp. 613-615.
5210.  
5211. 24. Lee, T. M. P., et al.  "Processors, Operating Systems and
5212.          Nearby Peripherals: A Consensus Report," in Audit and
5213.          Evaluation of Computer Security II: System
5214.          Vulnerabilities and Controls, Z. Ruthberg, ed., NBS
5215.          Special Publication #500-57, MD78733, April 1980.
5216.  
5217. 25. Lipner, S. B.  A Comment on the Confinement Problem, MITRE
5218.          Corp., Bedford, Mass.
5219.  
5220. 26. Millen, J. K.  "An Example of a Formal Flow Violation," in
5221.          Proceedings of the IEEE Computer Society 2nd
5222.          International Computer Software and Applications
5223.          Conference, November 1978, pp. 204-208.
5224.  
5225. 27. Millen, J. K.  "Security Kernel Validation in Practice," in
5226.          Communications of the ACM, vol. 19, no. 5 (May 1976),
5227.          pp. 243-250.
5228.  
5229. 28. Nibaldi, G. H.  Proposed Technical Evaluation Criteria for
5230.          Trusted Computer Systems, MITRE Corp., Bedford, Mass.,
5231.          M79-225, AD-A108-832, 25 October 1979.
5232.  
5233. 29. Nibaldi, G. H.  Specification of A Trusted Computing Base,
5234.          (TCB), MITRE Corp., Bedford, Mass., M79-228, AD-A108-
5235.          831, 30 November 1979.
5236.  
5237. 30. OMB Circular A-71, Transmittal Memorandum No. 1, Security of
5238.          Federal Automated Information Systems, 27 July 1978.
5239.  
5240. 31. OMB Circular A-123, Internal Control Systems, 5 November
5241.          1981.
5242.  
5243. 32. Ruthberg, Z. and McKenzie, R., eds.  Audit and Evaluation of
5244.          Computer Security, in NBS Special Publication #500-19,
5245.          October 1977.
5246.  
5247. 33. Schaefer, M., Linde, R. R., et al.  "Program Confinement in
5248.          KVM/370," in Proceedings of the ACM National
5249.          Conference, October 1977, Seattle.
5250.  
5251. 34. Schell, R. R.  "Security Kernels: A Methodical Design of
5252.          System Security," in Technical Papers, USE Inc. Spring
5253.          Conference, 5-9 March 1979, pp. 245-250.
5254.  
5255. 35. Trotter, E. T. and Tasker, P. S.  Industry Trusted Computer
5256.          Systems Evaluation Process, MITRE Corp., Bedford,
5257.          Mass., MTR-3931, 1 May 1980.
5258.  
5259. 36. Turn, R.  Trusted Computer Systems: Needs and Incentives for
5260.          Use in government and Private Sector, (AD # A103399),
5261.          Rand Corporation (R-28811-DRE), June 1981.
5262.  
5263. 37. Walker, S. T.  "The Advent of Trusted Computer Operating
5264.          Systems," in National Computer Conference Proceedings,
5265.          May 1980, pp. 655-665.
5266.  
5267. 38. Ware, W. H., ed., Security Controls for Computer Systems:
5268.          Report of Defense Science Board Task Force on Computer
5269.          Security, AD # A076617/0, Rand Corporation, Santa
5270.          Monica, Calif., February 1970, reissued October 1979.
5271.  
5272.  
5273.  
5274.  
5275.